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(54) Title: DATA PROCESSING DEVICE 



(54) Bezeichnung: DATENVERARBErTUNGSVORRICHTUNG 




(57) Abstract: Tbe invention relates to a data processing device comprising a local file leceiving system whidi is used to receive 
local files and which is associated with a local computer unit and used for the purpose of retrieval and storage, in addition to two-way 
transmission of volume files by the computer unit, and a user identification unit which is associated with the local computer unit and 
which is configured in such a way diat it can react to positive ID only in order to enable access by said conqaiter unit to volume files 
which are authorized for a user. The volume file is stored in the local file receiving system in an enciypted form whidi cannot be 
used f(x^ a user. A key administration system which is associated with a volume file transmission path between the local computer 
unit and local file receiving system is configured as part of and as a functionality of the local computer unit for the generation and 
aDocation of a user-specific and volume-file-specific key data fiile for each volume file. The key management system is connected to 
a key data base which is part of the system for receiving local files and logically sepaaated therefrom. The key management system 
links a key file \^ch is stored in the key data base to a volume file stored in the local file receiving system in order to generate an 
electronic document so that a volume file can be produced for the local file receiving system. The key data base is provided locally 
in the data processing unit but is stnictuially or physically separated fiom the driver unit or mass storage unit which is associated 



with die local file receiving systeuL 

^ (57) Znsammenfiissung: Die Erfindung betrifit eine Datenveraibdtungsvomcfatung mit einem einer lokalen Recfanereinheit zu- 
geordneten lokalen Dateiablagesystem zum Abrufen und zur Spdchenmg sowie zur bidirektionalen DatenQbertragung von Vota- 
mendalden mittels der Recfaneieinhett und einer der lokalen Rechnereinheit zugeordneten Nutzer-Identifikationseinbeit, die zum 



Enn5gUcfaen euies Zugiifiis durdi die Rechnereinheit auf 
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Fbr Ablauf der fur Anderungen dor Anspruche geltenden Zur ErttSnmg der Zweibuchstaben-Codes, und der anderen 
Frist; Verdffentlichung wird wiederholt, falls Awkrung^n AbkQrzungen wird atf die Erkl6rmgen fGiddance Notes on 
eintreffeit Codes and Abbreviations") am Ar^angjeder regidSren Ausgabe 

der PCT-Gazette verwiesen. 



fur einen Nutzer autorisierte Vohimendateien nur als Reakdon auf dessen positive Idaitifikadon ausgebildet ist, wobd die X^lumen* 
datei in dem k>kalen Dateiablagesystem in einer fDr einen Nutzer nicht brauchbaren, vencbltlsselten Foim gespeicbert i$t» wobei eine 
einem Datenubertragungspfad von Vohimendateien zwiscben der lokalen Redmereinbeit und dem lokalen Dateiablagesystem zuge- 
(Hdnete ScfalQsselva^tungseinbeit als Teil und Funktionalitat der lokalen Rechnereinheit, die zum Erzeugen und Zuweisen einer 
nutzerspezifiscben und volumendateispezifiscben ScblQsseldatei fQr jede Volumendatd ausgebildet ist, die Scblfisselverwaltongsein- 
beit mit einer als TeU des lokalen Dateiablagesystems, von diesem logiscb getrennt vorges^enen ScblQsseldatenbank veibundeD ist 
und zum Veikntipfen einer in der SchlOsseldatenbank g^speicberten ScblQsseldatei mit einer im lokalen Dateiablagesystem gespe- 
ichoten Volumendatei zum Erzeugen eines fUr einen Nutzer braucbbaren eleketroniscben Doknments sowie zum Vcfknttpfen einer 
eizeugten ScblOsseldatet mit einem zu speichemdcn elektzomschen Dokument zum Erzeugen etner Vohmiendatei fitr das lokaie 
Dateiablagesystem ausgd)ildet ist, wobd die Schlflsseldatenbank lokal in der Datenv e ra i te i t u ngsvoiiidmmg, jedocb straktureD 
Oder pbysiscb getrennt von einer dem lokalen Dateiablagesystem zugeondneteo Laufwedcs- oder Massenspeicfaereinheit votgesefaen 
ist 
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Datenverarbeitunqsvorrichtunq 

5 Die vorliegende Erfindung betrifft eine Datenverarbeitungsvorrichtung nach dem Oberbegriff 
des Patentanspruchs 1 . 

Vor dem Hintergrund zunehmend strengerer Erfordernisse an die Datensicherheit, den Schutz 
vor unerlaublem Datenzugriff durch Dritte sowie des unautorisierten Kopierens ganzer Daten- 
ID und Dateistrukturen bzw. des unautorisierten Zugriffs und Einblicks auf/in diese stellt sich das 
generelle Problem des Zugriffsschutzes auf Nutzerdateien nicht nur fiir Grolirechnersysteme 
Oder fiir unternehmensweite Netzwerke; oftmals sind auch bereits Einzelplatzsysteme oder 
kleine, lokale Rechnerverbunde bedroht. 

15 Zugangsregelung und Zugriffsschutz hat daher Eingang in praktisch alle Rechnerbetriebssy- 
steme und Anwenderprogramme gefunden, von einem passwortgeschiitzten Rechnerstart 
(der namlich uberhaupt erst das Hochfahren eines Betriebssystems ermoglicht, wenn ein kor- 
rektes Passwort eingegeben wurde). bis bin zu individueiler Zugriffssicherung elwa von mit ei- 
nem Anwendungsprogramm. z. B, einer Textverarbeitung, erstellten elektronischen Doku- 

ED menten (als "elektronisches Dokument" sollen im folgenden beliebige. fiir einen Nutzer 
brauchbare, d. h. sinnvoll mit dem beabsichtigten Inhalt bzw. Kommunikationszweck belegte, 
les-, erkenn- und ausgebbare Nutzdateien. eingeschlossen ausfuhrbare Programme, ver- 
standen werden, im praktischen Gebrauch sind dies beispielsweise Texte» Bilder, Ton- 
und/oder Bildfolgen. 3-D-Animationen, interaktive Eingabemasken usw.). 

SS 

Gerade im Anwendungsfeld eines lokalen Arbeitsplatzes oder Rechnerverbundes bieten aber 
passwortgeschutzte Zugriffs- oder Startroutinen ubiicherweise einen nur ungenugenden 
Schutz: Selbst wenn. etwa durch Passwortschutz eines Arbeitsplatzcomputers als uber das 
betreffende Betriebssystem angebotenem Zugriffsschutz der Rechner. durch einen unauto- 
3D risierten Benutzer nicht gestartet werden kann. so besteht die Gefahr, dass entweder uber 
Umwege auf den diesem Arbeitsplatzrechner zugeordneten Massenspeicher zugegriffen wird. 
Oder aber einfach, etwa im Wege einer Backup-Routine, der komplette Inhalt eines solchen 
Massenspeichers, etwa einer Festplatte. ausgelesen und dann zu einem spateren Zeilpunkl 
mit einem anderen System widerrechtlich analysiert und gelesen wird. 

35 

Auch ein individueiler Dokumenten-Passwortschutz verspricht gegen derartige, unautorisierte 
Backups einen nur ungenugenden Schutz, denn selbst auf einer Festplatte passwort-ver- 
schlusselte Nutzdateien kbnnen oftmals mit geringem Aufwand, unter Ausnutzung der inha- 



BESTATIGUNGSKOPIE 
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renten, inneren Redundanz von Bildem Oder Sprache, in ihre ursprungliche, offene Fassung 
zuruckversetzt werden. Ein derartiger, DbkumentHndividueller Passwortschutz, der ublicher- 
weise auch als Benutzer-Level-Kryptografie verstanden wird, ist. bedingt durch seine strikte 
Dokumentabhangigkeit, empflndlich gegen Bedienfehler und umstcindlich: Es bestelit die Ge- 
5 fahr. dass ein Benutzer das VerschlQsseIn einzelner Dateien vergilit oder aber eine ursprung- 
lich unverschlQsselte Textdatei nach dem verschlusselten Abspeichem nicht Idscht. Auch ist 
die Benutzung wenig komfortabei, da ubiichenveise wahrend einer Benutzersitzung (Session) 
ein zugehoriges Passwort mehrfach einzugeben isl. Insbesondere im Zusammenhang mil 
File-Servern in einer vemetzten Umgebung ist es zudem praktisch unvermeidbar, dass zu- 
ID mindest zu gewissen Zettpunkten sich eine klare, unverschlQsselte Nutzerdatei auf einem 
Speichermedium befindet und so etwa uber ein Netzwerk offener Zugriff moglich ist. 

Als weiterer Nachteil einer solchen, aus dem Stand der Technik bekannten Ldsung, wie sie 
etwa im Zusammenhang mit gangigen Textverarbeitungssystemen bekannt ist, besteht darin, 
15 dad ein jeweiliger Benutzer sich ein zugehoriges Passwort merken muss, die Gefahr durch 
Dokumentverlust bei Verlieren des Passwortes also groli ist, und daruber hinaus eine Ent- 
schlusselung jeweils nur programm- bzw. anwendungsspezifisch ist, also insbesondere ein 
Zugriff auf eine dergestalt verschlusselte Datei mit anderen Anwendungsprogrammen und 
deren Weiterverwendung stark erschwert. wenn riicht gar unmdglich ist. 

Wie zudem bereits erwahnt, besteht der prinzipbedingte Nachteil einer klassischen Verschlus- 
selung mit Hilfe von bekannten kryptografischen Verfahren (symmetrische Oder asymmetri- 
sche Verschlusselung wie DES, IDEA, RSA, El-Gamal) in der Abhangigkeil von der Geheim- 
haltung eines relativ kurzen Schlussels, ublicherweise 56 bzw. 128 Bit. Wenn ein solcher 
25 SchlQssel aufgrund der erwahnten inneren Redunanz der Sprache Oder des Standards, in der 
das betreffende elektronische Dokument verfasst worden ist, aus einem begrenzten Daten- 
kontext t>erechnet werden kann. dann ist somit der gesamte Inhalt, bei dem dieser SchlQssel 
venvendet worden ist. lesbar. 

30 Ein weitere Problem bilden sog. offene Systeme. die durch Multiuser-Betriebssysteme ver- 
waltet werden und Zugriffe auf Netzwerk-Massenspeicher ermoglichen. Ein solcher Zugriff 
wird QblichenA^eise uber das Betriebssystem nur unzureichend verwaltet, und insbesondere 
kann daruber hinaus im Normalfall nicht nachvollzogen werden, wer, wann und von wo Daten 
geschrieben Oder gelesen hat. Dagegen ist offensichtlich, dass insbesondere in einem ver- 

35 traulichen Kontext derartige Informationen, etwa im Fall spaterer Beweisfuhrungen. zum ver- 
besserten Quellenschutz notwendig sein konnen. 
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Aufgabe der vorliegenden Erfindung ist es daher. eine gattungsgemalie Datenverarbeitungs- 
vorrichtung im Hinblick auf die Datensicherheit von lokal gespeicherten Nutz- bzw. Volumen- 
daten zu verbessem, und insbesondere die Gefahr durch unautorisierten Datenzugriff durch 
vollstandiges Kopieren etnes Massenspeicherinhalts. etwa durch Backup, zu vermindern. 
S Insbesondere sind zudem auch die Sicherheitsnachteile bekannter Kryptografieverfahren ge- 
gen Entschlusselung zu uberwinden und die Verschlusselungssicherheit zu erhdhen. 

Die Aufgabe wird durch die Vorrichtung mit den Merkmalen des Patentanspruchs 1 und 10 
sowie die Verfahren nnil den Schritten der Patentanspruche 7 und 8 gel6st; bevorzugle Wei- 
ID terbildungen der Erfindung ergeben sich aus den ruckbezogenen, abhangigen Anspruchen. 

In erfindungsgemaft vorteilhafter Weise fmdet eine Abkehr von dem gerade im Einzelplatz- 
bzw. lokalen Netzwerkbereich ubiichen rollenspezifischen (d.h. auf Benutzer, z.B, Admini- 
strator, bezogenen) Passwortprinzip statt, und ein Schutz der sicherheitsbedurftigen Nut- 
1 5 zerdateien - im weiteren und im Rahmen der Erfindung auch als Volumendateien bezeichnet - 

- erfolgt durch die erfindungsgemSK zusatzlich vorgesehene Schlusseivenvaltungseinheit im 
Zusammenwirken mit der Schlusselspeichereinheit ("Schlusseldatei"). 

Genauer gesagt besteht ein wesentliches Merkmal der vorliegenden Erfindung darin, jegliche 
EU (bzw. eine ausgewahlte und/oder vom Betriebssystem bestimmte), zur - zugriffsgeschutzten - 

- Speicherung sowie zum spateren Wieder-Aufrufen vorgesehene Datei vor ihrer Ablage im 
lokalen Dateiablagesystem, welche besonders bevorzugt ein ubiicher Massenspeicher. etwa 
eine Festplatte. ein optisches Laufwerk usw. sein kann, zu verschlussein, und zwar mittels 
eines sowohl datei- als auch benutzerspezifischen Schliissels. Damit ist gemeint, dass jede im 

5S Rahmen der vorliegenden Erfindung zu sichernde Volumendatei, bevorzugt die Gesamtheit 
der auf dem Dateiablagesystem zu speichemden Dateien, mit einem tndividuetlen Schlussel 
versehen wird, der getrennt (also nicht in einer dem Dateiablagesystem unmittelbar zu- 
geordneten Weise) gespeichert wird, und eine Volumendatei nur zusammen mit dem zugeho- 
rigen. indtvidualisierten Schlussel offen und benutzbar wird. Auch bedeutet die nutzerspezi- 
' 3D fische Eigenschaft eines Schliissels, dass fur verschiedene Nutzer der erfindungsgemalien 
Datenverarbeitungsvorrichtung eine jeweilige Zugehorigkeits- und Autorisierungsprufung 
stattfindet, also ein Nutzer (im Rahmen der Erfindung ist als "Nutzer" insoweit auch eine Be- 
nutzergruppe zu verstehen) kann im Rahmen der vorliegenden Erfindung nur auf die fur ihn 
vorgesehenen bzw. autorisierten Volumendateien zugreifen, und dies wird - abweichend vom 

35 Stand der Technik - insbesondere auch uber die individualisierte Schlusseldatei bzw. 
Schlusseldatensatz einer Datenbank erreicht. 
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In der praktischen Realisieaing der Erfindung muss also vor jeder Arbeitssitzung mit Zugriff 
auf - als solche nicht benutzbare - Volumendateien eine mindestens einmalige identifikation 
und Autorisierung eines jeweiligen Nutzers stattfinden, und erst durch Verkntipfung mit einer 
getrennt gespeicherten bzw. erzeugten Schlusseldatei kann eine. in dem Dateiablagesystem 
5 bevorzugt dauerhaft gespeicherte Volumendatei gesichert bzw. in nutzbarer Form verwendet 
werden. 

Nicht nur wird damit das Hauptproblem bestehender, passwortgeschutzter Datenverarbei- 
tungssysteme aus dem Stand der Technik gelost (auch ein vollstandiges Kopieren einer Fest- 

10 platte mit dem Dateiablagesystem ermSglicht keinen Zugriff auf die benutzbaren Nutzerdaten), 
durch Zwischenschaltung der erfindungsgemaHen Schlusselverwaltungseinheit in den bidi- 
rektionalen Speicher- und Aufrufpfad zwischen Rechnereinheit und lokalem Dateisystem 
werden diese Sicherungsvorgange fur einen autorisierten Benutzer - nach einmaliger. erfolg- 
reicher Identifikation - unsichtbar und unbemerkt, bteten also beispielsweise den Vorteil, im 

15 Verlauf einer Arbeitssitzung am Datenverarbeitungssystem (session) nicht bei jedem neuen 
Offnen einer Textdatei ein zugehoriges Passwort eingeben zu miissen. 

Oer weitere Vorteil einer erfindungsgemSd benutzer- und dateispezifischen Verschlusselung 
besteht zudem darin, dass im Fall des Bekanntwerdens eines individuellen SchlQsseis der 
SO notwendige Aufwand fOr eine SchlusselSnderung oder ZugriffsSnderung relativ gering bleibt. 

WeiterbildungsgemaU ist es im Rahmen der Erfindung vorgesehen, zum Zugriff auf den 
Schlussel eine weitere. in Form einer verschlusselten Zwischendatei (Zwischenschicht) rea- 
lisierte. nicht auf einer gemeinsamen Back-Up-Elnheit gespeicherte Sicherungsebene vorzu- 
25 sehen, die insbesondere die Sicherheit des Zugriffs auf den Schlussel weiter erhoht. Durch 
eine solche, selbst verschliisselte. physisch entfernte Zwischenlage ist damit sichergestellt. 
dass die eigentliche Schlusseldatei nicht direkt zuganglich ist. 

Als Ergebnis der vorliegenden Erfindung ergibt sich zudem. dass prinzipiell das Lesen des 
30 verschlusselten Dateiablagesystems, etwa zum Zweck des Backups, als solches erlaubt und 
allgemein zuganglich ist und insbesondere von einer Autorisierung unabhangig gemacht wird 
(da ja auch das Ergebnis eines solchen Backups verschlusselt bieibt). Entsprechend werden 
derartige Sicherungsvorgange. wie der Backup-Prozess, von etwa einem besonderen, 
sicheren Zugriffstatus (ubiichen/veise Supervisor oder Systemadministrator) unabhangig. da 
35 das eigentliche Leserecht bzw. die Fahigkeit, auf das elektronische Dokument im Klartext (d.h. 
often und unverschlusselt) zuzugreifen, unabhangig von der Backup- Funktion und damit von 
einem Supervisor od.dgl. vergeben werden kann. 
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GemSH einer bevorzugten Weiterbildung der Erfindung, fur die auch unabhangiger Schutz 
beanspaicht wird. werden zudem semantische, d. h. inhalts- und/oder sinnentstellende Ver- 
schlusselungsverfahren, herangezogen, wobei hier der zu schQtzende Inhalt einer Volumen- 
datei eine entsprechend unbrauchbare Fassung erh3lt und erst durch eine zugehdrige. datei- 
5 sowie nutzerindividualisierte Schlusseldatei, die dann beispielsweise einen Reihenfolgeindex 
fiir eine korrekte Anordnung vertauschter Einzelbegriffe Oder Satze eines Textes enthalt, in 
der Kombination einen so verschlusselten Text verstandlich macht. 

Eine derartige semantische VerschlCisselung bietet gegenuber klassischen Kryptografieverfah- 

10 ren. insbesondere im vorliegenden Kontext der Verschlusselung auf der Ebene des Filesy- 
stems, eine Vielzahl von Vorteilen: So ist zum einen die Verschlusselungssicherheit, insbe- 
sondere bedingt durch die Mdglichkeit, beliebtge Informationskomponenten einzufugen bzw. 
auszutauschen, nahezu absolute wobei insbesondere jegliche Kontext- bzw. Inhaltsabhdngig- 
keit des Schlussels vom verschlusselten Text nicht mehr vorhanden ist. Auch \aQ>\ sich mit 

15 diesem Verschlusselungsverfahren in besonders einfacher Weise einen Bezug zum jeweiligen 
Nutzer herstellen. Bei bestimmten ursprunglichen Datenmengen, etwa Texten, laBt sich zu- 
dem gemaK einer bevorzugten Weiterbildung der Erfindung eine Verschlusselung dergestalt 
vornehmen, dass etn jeweiliger Inhalt zwar gegenuber dem ursprunglichen Inhalt entstellt und 
verandert wird. insoweit also aus Benutzersicht nutzlos wird, gleichwohl jedoch ein Sinn 

20 und/oder eine technische Lesbarkeit und Darstellbarkeit der verschlusselten Datenmenge 
erhalten bleibt (mit der Wirkung, dass moglicherweise uberhaupt nicht erkannt wird, dass eine 
Verschlusselung vorliegt). Dies ist beispielsweise dann der Fall, wenn gewisse Worte und 
Begriffe eines Textes (die insoweit als Informationskomponenten im Sinne des Patentan- 
spruches 8 verstanden werden) gegen semantisch und/oder grammatikalisch vergleichbare. 

2 5 inhaltlich jedoch anders aufzufassende Termini ersetzt werden. 

Generell erfordert die vorliegende Erfindung eine Metasprache in Form einer linearen Ver- 
kettung von jeweils aus sich heraus sinngebenden Modulen (Informationskomponenten). die 
zum Zwecke des vorliegenden Verfahrens zerlegt und durch die Aktionen des Vertauschens, 
30 Entfemens. Hinzufugens und/oder Austauschens in die fiir den Nutzer unbrauchbare Form 
(Anordnung) gebracht wird. 

Im Rahmen der vorliegenden Erfindung ist eine Vorrichtung zum Behandein einer elektronisch 
gespeicherten ursprunglichen Datenmenge geschaffen, welche insbesondere zur Implemen- 
35 lierung der vorstehend beschriebenen semantischen Verschlusselung geeignet und vorgese- 
hen ist. 
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In erfindungsgemad vorteilhafter Weise wird durch eine solche Vorrichtung die Funktionalitat 
einer Schlusselerzeugungs- und Verwaltungseinheit realisiert, welche in der Lage ist, sowohl 
aus einem ursprunglichen. zu schutzenden Dokument (namlich der ursprunglichen Daten- 
menge bzw. Nutzdatei) die semantisch verschlusselten Volumendaten nebst Schlusseldaten 
5 zu erzeugen. als auch fur eine Verwaltung und Weiterbehandlung der so erzeugten Daten- 
mengen zu sorgen. So ist insbesondere die erfindungsgemafle Analyseeinheit vorgesehen. 
um im Rahmen der vorgegebenen Formatstruktur und/oder Grammatik des ursprunglichen 
Dokuments die Voraussetzung fur eine nachfolgende inhalts- bzw. sinnbezogene Verschlus- 
selung zu schaffen, und die der Analyseeinheit nachgeschaltete Verschlusselungseinheit 
10 nimmt dann die Kernoperationen der semantischen Verschlusselung, nSmlich das Vertau- 
schen, Entfemen, Hinzufugen und Austauschen, auf die Informationskomponenten der ur- 
sprunglichen Datenmenge, unter Berucksichtigung der anaiysierten Formatstruktur und 
Grammatik, vor. 

15 Dabei ist es besonders geeignet, etwa die Operationen des Vertauschens Oder Austauschens 
so vorzunehmen. dass eine betreffende informationskomponente mit bzw. durch inhaltlich, 
strukturell Oder grammatikalisch aquivalente Informationskomponenten ersetzt wird. insoweit 
also das Resultat der Operation nach wie vor scheinbar sinnvoll bleibt. Die weiterbildungsge- 
mali vorgesehene Aquivalenzeinheit ermoglicht- im Rahmen der vorliegenden Erfindung die 

20 Identifikation bzw. die Auswahl geeigneter aquivalenter Informationskomponenten fur diese 
Oder andere Operationen. 

GemaH einer weiteren. bevorzugten Weiterbildung der Erfindung findet zudem eine Operation 
durch die Verschlusselungseinheit unter Berucksichtigung der Grammatik (der zugrunde lie- 

BS genden naturlichen. maschinellen Oder menschlichen Sprache). des Formats Oder der Syntax 
des ursprQnglichen Dokuments statt: Durch Wirkung der bevorzugt vorgesehenen semanti- 
schen Regeleinheit ist namlich die erfindungsgemaft vorgesehene Verschlusselungseinheit in 
der Lage, wiederum ein Verschlusselungsergebnis zu erzeugen, welches eine der Ur- 
sprungsdatei entsprechende grammatikalische, fonnatmaftige und/oder syntaktische Struktur 

30 besitzt, so dass also nicht nur im Hinblick auf die jeweiligen einzelnen Informationskompo- 
nenten (z.B. Worte in einem Text) Aquivalenz gegeben ist. sondern auch im Hinblick auf die 
Strukturen und/oder formatmaliigen Anordnungen (also z.B. die Anordnung von Begriffen in 
einem Satz nach den Regein der Grammatik) regelkonform ist und insoweit ohne inhaltliche 
Prufung nicht erkennen laftt. dass eine den Verschlusselungseffekt bewirkende Operation auf 

35 die Informationskomponenten stattgefunden hat. Als Aquivalenz im Rahmen der vorliegenden 
Erfindung wird insbesondere auch die sog. metaphorische Aquivalenz einbezogen. Als 
metaphorisch bzw. metaphorik im Rahmen der vorliegenden Erfindung sollen dabei jegliche 
Elemente einer Sprache verstanden werden, die in einem aus Verstandnissicht sinnvollen 
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Zusammenhang zueinander stehen. also gewissermallen einer gemeinsamen inhaltlichen, 
thematischen und/oder sinngebenen Gaippe von Sprachelementen (also z.B. Worten) ange- 
horen. Typische Beispiele fOr im Rahmen der vorliegenden Erfindung metaphorisch aquiva- 
lente Begriffe sind z.B. "Bahnhor mit "Tankstelle" Oder "Flughafen", als jeweilig unmittelbar 
5 thematisch dem Gebiet 'Verkehr*' zugehorig und insoweit metaphorisch austauschbar. Andere 
Beispiele sind Vornamen, Ortsbezeichnungen Oder numerische Angaben (wie Datunr>sanga- 
ben, Wahrungsangaben usw.), die jeweiis untereinander als metaphorisch aquivalent anzuse- 
hen sind. 

10 GemaK einer weiteren, bevorzugten Weiterbildung ist der Verschlusselungselnheit eine 
Sleuerungseinheit zugeordnet, welche den Verschlusselungsbetrieb (d.h. die Anwendung und 
Wirkung der einzelnen verschlusselnden Operationen) randomisiert: Durch Erzeugen und 
Berucksichtigen einer Zufallskomponente, z.B. einer in ansonsten bekannter Weise erzeugten 
Zufallszahl und deren Berucksichtigung bei dem Vornehmen einer davon abhangigen Anzahl 

IS von Verschlusselungsoperationen, ist sichergestellt» dass ein Verschiussein desselben 
Ursprungsdokuments stets zu einem verschiedenen Ergebnis fuhrt. also die VerschlUsselung 
seibst unter ansonsten identischen Bedingungen nie dasselbe Verschlusselungsergebnis 
erzeugt. Auch mit dieser MafSnahme lafit sich die Sicherheit der voriiegenden Erfindung weiter 
erhohen. 

20 

Generell hat es sich zudem als besonders bevorzugt bewahrt, einem die Verschlusselung 
anwendenden Benutzer die Moglichkeit zu geben, eine vorbestimmte Verschlusselungstiefe 
(und damit eine Verschlusselungssicherheit) vorzuwahlen: Beim beschriebenen 
Erfindungsaspekt der semantischen Verschlusselung korreliert die Frage der 

25 Verschlusselungstiefe mit der Anzahl der durchgefuhrten. die Verschlusselung bewirkenden 
Basisoperationen des Vertauschens, Entfemens, Hinzufugens Oder Austauschens. und 
bestimmt insoweit auch das Volumen der erzeugten Schlusseldatei. Durch Einstellen eines 
entsprechenden Parameters kann somit der Nutzer faktisch eine Sicherungsstufe der 
durchzufuhrenden Verschlusselungsoperationen bestimmen. wobei jedoch, im Gegensatz zu 

30 bekannten, klassischen Verschlusselungsverfahren. in jedem Fall das Ergebnis der 
semantischen Verschlusselung ein scheinbar korrektes (d.h. scheinbar unverschlusseltes) Er- 
gebnis bringt, und die Frage, ob uberhaupt eine Verschlusselung stattgefunden hat, ohne 
inhaltliche (bzw. mit Vorwissen ausgestattete) Prufung nicht moglich ist. Insoweit lasst sich 
also durch diesen durch die semantische Verschlusselung erstmals erreichten Effekt der 

3S Unsicherheit sogar eine gewisse Schutzwirkung erreichen, ohne dass uberhaupt eine einzige 
Verschlusselungsoperation im vorbeschriebenen Sinne durchgefUhrt wird. 



1 
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Als weitere, besonders bevorzugte Realisierungsform der vorliegenden Erfindung hat es sich 
zudem herausgeslellt, mittels der weiterbildungsgemSfi vorgesehenen Konvertierungseinheit 
die Volumendaten als Dokument auszugeben, wShrend die SchlQsseldatei als lauffahige 
Scriptdaten einer geeigneten Struktur- Oder Scriptsprache. z.B. XML. SGML, XSL, Visual 
5 Basic (Script), Javascript usw.. erzeugt und ausgegeben werden kann, mit dem Vorteil. dass 
insbesondere im Zusammenhang mit Netz- Oder Internet-basierten Anwendungen dann in 
besonders einfacher Weise ein Wiederherstellen der Ursprungsdaten erfolgen kann. im 
einfachsten Fall durch Ablaufen des das Wiederherstellen unmittelbar bewirkenden Scripts 
(welches uber eine geeignete. das Interesse des Schutzsuchenden berucksichtigende 
10 Verbindung herangefuhrt worden ist), und welches zudem Ansatzpunkte fur weitere 
Sicherheitsmechanismen, z.B. Datenintegritat Oder Serverkontakt. bietet. 

Im Ergebnis tdHt sich so mit Hilfe der erfindungsgemaften Infrastruktur eine hochgradig 
sichere und gleichwohl bedienungsfreundliche Schutzarchitektur schaffen. die nicht nur die 

15 Interessen des Schopfers eines schutzwurdigen elektronischen Dokuments deutlich besser 
schutzt als dies mit konventionellen Moglichkeiten gegeben ist, sondern die zudem auch 
potentiellen Nutzern des geschOtzten Inhattes einen leichten, komfortablen Zugang und Um- 
gang mit dem Dokument ermoglicht, und letztendlich ist zu berucksichtigen, dass nur die 
Existenz eines wirksamen Schutzinstruments gegen unberechtigtes Kopieren und Weiterver- 

EQ breiten Garant dafur ist, dass auch zukunftig elektronische Dokumente wertvollen Inhalts und 
mit hoher Qualitat erzeugt und allgemein erhaltlich sein werden. 



GemaR einer bevorzugten Weiterbildung des Verfahrens der semantischen Verschlusselung 
ist zudem vorgesehen. dass eine erfindungsgemad erzeugte SchlQsseldatei (Datenmenge) fur 

ES Drittpersonen gesondert verschlOsselt (konventionell Oder semantisch) wird. und zwar minde- 
stens zweifach, wobei einer ersten Person das Ergebnis der ersten Verschlusselung und einer 
zweiten Person das Ergebnis der darauffolgenden zweiten Verschlusselung zugeordnet wird. 
Ein derartiges. erfindungsgemaRes Vorgehen hat dann die vorteilhafte Wirkung, dass selbst 
bei Verlust der eigentlichen Schlusseldatenmenge die Nutzdatei wieder hergestellt werden 

3D kann. indem beide Empfdnger der nachfolgenden Verschlusseiungsergebnisse miteinander 
die zugrundeliegende Schlusseldatenmenge durch aufeinanderfolgendes Entschlussein 
erzeugen. Ein derartiges Vorgehen, was insoweit einem Vier-Augen-Prinzip entspricht, wurde 
in erfindungsgemaU vorteilhafter Weise die vorliegende Erfindung unabhangig vom Original- 
schliissel. namlich der zuerst erzeuglen Schlusseldatenmenge, machen konnen und insoweit 

3S Unglucksfallen. wie dem Verlust des Originalschliissels etwa durch Versterben eines Pass- 
wortinhabers. vorbeugen konnen. Entsprechend ist ein zusatzliches. zweifaches Verschlus- 
seln der korrekten SchlQsseldatei vorgesehen. ein erstes Ergebnis des zusatzlichen Ver- 
schlusselns wird einer ersten Drittperson zugeordnet, ein zweites Ergebnis des zusatzlichen 
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Verschlusselns wird einer zweiten Drittperson zugeordnet und die korrekte SchlQsseldatei ist 
durch aufeinanderfolgendes EntschlQsseIn mit dem ersten und dem zweiten Ergebnis wieder- 
herstellbar. 

S Nicht nur in diesem konkreten Beispiel zeigt sich zudem, dass im Rahmen der Erfindung die 
so verschlusselte Nutzdatei eine Volumendatei ist. also ~ gegenuber dem offenen Inhalt - 
einen vergleichbaren Oder allenfalls wenig veranderten Volumenumfang aufweist. 

Eine vorteilhafte Realisierungsform der vorliegenden Erfindung liegt darin. die erfindungsge- 
10 malie SchlQsselspeichereinheit (SchlQsseldatenbank) lokal vorzusehen. also innerhalb der 
rSumlichen Grenzen der Datenverarbeitungsvorrichtung (z. B. als zusatzliche Festplatte oder 
anderes, raumlich von dem Dateiablagesystem getrenntes Medium, oder aber logisch-struktu- 
rell getrennt, etwa in Form einer anderen Partition mit eigener Laufwerkskennung auf einer ge- 
meinsamen Festplattenelnheit). 

IS 

Konkret ist es daher beispielsweise m6glich, die Volumendaten (als ursprungliche Daten- 
menge) Qber einen Laufwerksbuchstaben in der Art eines Filesystems zu adressieren und 
anschlie&end auf die Schlusseldatenbank zuzugreifen. und/oder die Schtusseldatenbank in 
der Art eines hierarchischen Filesystems zu adressieren und etwa mittels eines Laufwerks- 

20 buchstabens zu kennzeichnen. Enlsprechend ist die Schlusseldatenbank lokal in der Daten- 
verarbeitungsvorrichtung. jedoch strukturell oder physisch getrennt von einer dem lokalen 
Dateiablagesystem zugeordneten Laufwerks- oder Massenspeichereinheit vorgesehen, und 
die Schlusseldatenbank ist mittels eines eigenen LaufWerksbuchstabens. eines Laufwerkob- 
jektes (mit Datenbankfunktionalitat verbunden) od.dgl. in der Art eines Filesystems adressier- 

BS bar. 

Im Ergebnis fuhrt damit die vorliegende Erfindung zu einem deutlich erhdhten Mali an Daten- 
sicherheit, insbesondere im Hinblick auf eine ansonsten mit geringem Aufwand durch unauto- 
risierte oder widerrechtlich handelnde Personen m6gliche Kopie (Backup) gesamter File- 

30 systeme oder Telle von diesen. Durch die mittels der vorliegenden Erfindung realisierte, 
bidirektionate lokale Verschlusselung entstehen nutzbare - und damit auch fur Dritte erst 
wertvolle - Daten und Informationen im Zeitpunkt der Abfrage bzw. existieren nur vor dem 
Ablegen in das Dateiablagesystem, so dass die vorliegende Erfindung auch als grundsatzliche 
Modifikation eines herkommlichen/veise offenen File-Handlingsystems hin zu einem in beide 

35 Richtungen (bezogen auf einen lokal zugeordneten Massenspeicher) durch Verschlussein ge- 
schutzten System verstanden werden kann. 
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Wesentlicher Vorteil des erfmdungsgemaiien VerschlQsselungsverfahrens, im vorliegenden 
Text auch als "semantische VerschlQsselung- bezeichnet, ist es zudem, dass hier aktive 
Daten in Form einer beliebigen Verknupfungsfunktion zur Verschlusselung herangezogen 
werden konnen. insoweit gibt also dieser Schlussel unmittelbare Eigenschaften des ver- Oder 
S entschlusselten Dokuments (z.B. Reihenfolge Oder Lucken) wieder Dagegen sind klassische 
Verschlusselungsfunktionen, die - eindeutig und konkret - eine Beziehung zwischen Schlus- 
sel und zu verschlusselndem Dokument herstellen. eher passiv. d.h. die Verschlusselungs- 
funktion bzw. -operation besitzt keine Beziehung zum Dokument. 

Ein weiterer. potentiell nutzbarer Aspekt der vorliegenden Erfindung liegt darin, dass, im Ge- 
gensatz zu klassischen, bekannten Verschliisselungsverfahren, das Ergebnis der semanti- 
schen Verschlusselung ein elektronisches Dokument sein kann, welches fur einen Betrachter 
bzw. Nutzer einen auf den ersten Blick sinnvollen Charakter haben kann. Entsprechendes gilt 
fiir das Entschlussein, mit dem Ergebnis, dass prinzipiell jeder Ver- Oder Entschlusselungs- 
vorgang zu einem scheinbar sinnvollen Ergebnis fuhren kann (demgegenuber ist es etwa bei 
herkommlichen Kryptografieverfahren eindeutig, ob ein erfolgreiches Entschlussein stattge- 
funden hat, denn nur dann entsteht auch ein stchtbar sinnvolles Ergebnis). Dies gilt insbeson- 
dere fur den Anwendungsfall der Erfindung, dass die Schlusselverwaltungseinheit zum Er- 
zeugen und Zuweisen einer Mehrzahl von nutzerspezifischen und volumendateispezifischen 
Schlusseldateien fur jede Volumendatei ausgebildet ist, wobei die Schlusselverwaltungseinheit 
mit einer als Teil des iokalen Dateiablagesystems, von diesem logisch getrennt vorgesehenen 
SchlOsseldatenbank verbunden ist und zum Verknupfen einer in der SchlQsseldatenbank 
gespeicherten Schlusseldatei mit einer im Iokalen Dateiablagesystem gespeicherten 
Volumendatei so ausgebildet ist, dass im Fall der Verwendung einer korrekten der Mehrzahl 
von erzeugten und zugewiesenen SchlOssetdateien das konrekte elektrontsche Dokument er- 
zeugt wird. und im Fall der Venvendung einer nicht korrekten der gespeicherten Schlusselda- 
teien ein fiir einen Nutzer scheinbar korrektes elektronisches Dokument erzeugt wird. 

Die semantische Verschlusselung fOhrt damit zu einer potentiell erhbhten Sicherheit im Um- 
30 gang mit verschlusselten oder entschlusselten Dokumenten, wobei damit zusatzlich die Not- 
wendigkeit entsteht. etwa einem Benutzer nach einer durchgefuhrten, erfolgreichen Entschlus- 
selung anzuzeigen, dass er auch tatsachlich das offene, entschlusselte Ergebnis vorliegen 
hat, und nicht etwa ein (da ein Entschlusselungsvorgang erfolglos geblieben ist) nach wie vor 
verschlusseltes Dokument. 

35 

Eine derartige Anzeige kann etwa durch ein zusatzliches Originalitatssignal erreicht werden. 
etwa in Form eines (nur) dem Benutzer konkret in dieser Bedeutung bekannnten, optischen 
Hinweises. 
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Eine zusatzliche Qualitat erhait die im Rahmen der vorliegenden Erfindung eingesetzte se- 
mantische Verschlusselung weiterbildungsgemali dadurch, dass nicht nur die erfindungsge- 
mSR mit den Operationen Vertauschen, Entfemen, HinzufUgen Oder Austauschen manipulter- 
5 ten Informationskomponenten zu Verschlusselungszwecken herangezogen werden. sondern 
eine Verschlusselungswirkung zusatzlich dadurch en'eicht wird. dass die in der durch semanli- 
sche Verschlusselung erzeugten Schliisseldatenmenge vorliegenden Angaben Qber die ver- 
lauschten, entfemten, hinzugefugten und/oder ausgetauschten Informationskomponenten 
selbst Operationen des Ver- Oder Austauschens unterzogen werden. Mit anderen Worten, die 

ID Weiterbildung der semantischen Verschlusselung Itegt in dem semantischen Verschlussein 
der einem jeweiligen Dokument zugrunde liegenden sprachlichen / textlichen / strukturellen 
Metaebene (die selbst als ein Weg zum Beschreiben des elektronischen Dokuments verstan- 
den werden kann). In der konkreten Realisierung wurden dadurch also beispielsweise die An- 
gaben (z.B. Befehle Oder Syntaxelemente), die den semantischen Verschlusselungsvorgang 

15 beschreiben. ihrerseits durch andere, bevorzugt nicht-sprechende, Angaben ersetzt (mit der 
Folge. dass vor einem eigentlichen Entschliisseln erst eine solche Schliisseldatenmenge wie- 
derhergestellt werden mullte). 

Ein konkretes Beispiel fur eine derartige. weiterbildungsgemafi im Rahmen der Erfindung 
2D ebenfalls verschlQsselungsfahige Metasprache sind sog. TAG-Elemente, wie etwa Formatie- 
rungsanwelsungen fiir Tabellen od.dgl. Auch derartige Formal- und/oder Strukturelemente 
eines Dokuments, die. gewissermaRen ubergeordnet tiber den eigentlichen inhaltsgebenden 
Worten oder Satzen existieren, sind im Rahmen der vorliegenden Erfindung durch die Basi- 
soperationen des Vertauschens. Entfemens, Hinzufugens oder Austauschens behandel- und 
25 damit schutzbar. 

Weitere Vorteile, Merkmale und Einzelheiten der Erfindung ergeben sich aus der nachfolgen- 
den Beschreibung bevorzugter Ausfuhrungsbeispiele sowie anhand der Zeichnungen; diese 
zeigen in: 

3D 

Fig. 1: ein schematisches Blockschaltbild der Datenverarbeitungsvorrichtung gemaft 

einer ersten, bevorzugten Ausfuhrungsform der Erfindung und 

35 Fig. 2: ein schematisches Blockschaltbild einer Schlusselerzeugungs- und -verwal- 

tungseinheit im Rahmen der Erfindung. 
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Die Fig. 1 verdeutlicht anhand eines Einplatz-Computersystems, wie die vorliegende Erfindung 
mil Baugruppen und Komponenten eines handelsublichen PCs realisiert werden kann. 

Eine lokale Recheneinheit 10. realisiert durch das PC-Mainboard mit Oblichen Prozessor-. 
S Speicher- und Schnittstelleneinheiten, greift auf ein lokales Dateiablagesystem 12. realisiert 
als Festplatte, zu, wobei die Verbindung zwischen Recheneinheit und Dateiablagesystem 
bidirektional ist. also sowohl Schreibvorgange der Recheneinheit auf das Dateisystem durch- 
gefuhrt werden konnen. als auch umgekehrt Dateien der Einheit 12 gelesen (aufgerufen) 
werden und dann uber geeignete Ein-/Ausgabeeinheiten 14 (z. B. ein Bildschirm. Drucker. 
ID Schnittstellen zum Anschlielien anderer Rechnersysteme, Datenleitungen usw.) offen lesbar 
bzw. nutzbar zur Verfugung stehen. 

Das Dateiablagesystem 12 kann dabei ein logisch-strukturell getrenntes Dateiablagesystem 
sein, das als Teil einer grdfleren Dateiablage fur den vorliegenden Zweck speziell vorgesehen 
15 ist. 

Wie die Fig. 1 zeigt, ist zwischen Recheneinheit 10 und Dateiablagesystem 12 eine Schlussel- 
Venvaltungseinheit 16 zwischengeschaltet, die eine bidirektionale Verschlusseiung von in 
Richtung auf das lokale Dateiablagesystem 12 gerichteten, zu speichernden Nutzdateien - 
20 Textdateien. Bilddateien usw. - vornimmt, und die zudem in entgegengesetzter Richtung eine 
Entschlusselung von im iokalen Dateiablagesystem gespeicherten. als solche nicht lesbaren 
(d. h. nicht brauchbaren) Volumendateien zuruck in eine brauchbare Nutzerdatei vornimmt. 

Zu diesem Zweck bedient sich die Schlusselverwaltungseinheit einzelner Schiussel. die be- 
25 nutzer- (gruppen-) spezifisch sowie dateispezifisch erzeugt werden und in einer Schlus- 
selspeichereinheit 18 abgelegt sind. 

Im beschriebenen Ausfuhrungsbeispiel ist die Schlusselspeichereinheit physisch auf derselben 
Festplatte wie das Dateiablagesystem 12 enthallen. jedoch logisch und struktureli von diesem 
30 getrennt. indem der Schlusselspeichereinheit 18 (alternativ oder zusatzlich: dem Da- 
teiablagesystem 12) eine eigene Laufwerkskennung zugeordnet ist. 

Erst mittels des dokumentspezifischen Schlussels ist es fur einen Benutzer der Recheneinheit 
moglich, eine im System 12 gespeicherte Volumendatei in benutzbarer (lesbarer) Weise aus- 
35 zugeben, bzw. eine aktuell bearbeitete Datei dort abzulegen. 

Weiterhin sieht die in Fig. 1 gezeigte Ausfuhrungsform der Erfindung vor, dass, mit der Re- 
cheneinheit verbunden. eine Benutzer-ldentifikationseinheit vorhanden ist, die beispielsweise 
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durch ein geeignetes Softwaremodul im Rahmen des Rechner-Betriebssystems Oder eines 
konrekten Anwendungsprogrammes realisiert sein kann. 

Eine solche Benutzeridentifikation ermoglicht es, die in der Schlusselspeichereinheit 18 abge- 
legten Schlusseldateien benutzerspezifisch zuzuordnen und zur Verfiigung zu stellen, so dass 
auf diesem Wage einem jeweiiigen Benutzer der Zugriff nur auf fur ihn autorisierte Volumen- 
daleien in dem Dateiablagesystem 12 mSglich ist. Besonders geeignet enthalt beispielsweise 
Im dargestellten Ausfuhrungsbeispiel das fur die Schlusselspeichereinheit vorgesehene Lauf- 
werk eine - fiir den Benutzer unsichtbare - Unterteilung nach Benutzern fur jeweils vorgese- 
hene Schlusseldateien. so dass die Sicherheit des Zugriffs auf das Dateiablagesystem weiter 
erhoht wird. 

Neben gangigen Verschlusselungsverfahren fur im Dateiablagesystem unlesbar (und damit 
als solche unbrauchbar) gehaltene Volumendateien bietet sich zur Realisierung der vorlie- 
15 genden Erfindung insbesondere die sog. semantische Verschlusselung an, also das plan- 
maliige VerSndern des Inhalts einer Volumendatei durch etwa das Umstellen der Reihenfolge 
von Inhaltskomponenten eines nur in dieser bestimmten Reihenfolge sinnvoll und (vollstandig) 
nutzbaren Inhaltes (also etwa ein Umstellen von VVortern oder Satzen innerhalb eines 
Gesamttextes), wobei dann der hierzu generierte und in der Schlusselspeichereinheit 18 
2D abgelegte Schlussel eine konrekte Reihenfolgeinformation erhait. Andere Moglichkeiten einer 
solchen semantischen Verschlusselung wdren das Austauschen, Weglassen oder Ersetzen 
von vorbestimmten oder zufallig ausgewahlten Schlusselwortem. das Erzeugen von Lucken 
Oder das Einfugen von sinnentslellenden Zusatzen. 



ES Auf die beschriebene Weise wurde somit ein unautorisierter Zugriff auf das Dateiablagesy- 
stem. etwa im Wege eines vollstandigen Backup, den Zugreifenden lediglich mit unvollstan- 
digen und im Ergebnis nutzlosen Daten belassen, die selbst durch gangige Entschlusselungs- 
verfahren, ohne die getrennt gespeicherte Schlusselinformation, nicht in lesbare Form her- 
stellbar sind. 

3D 

Durch die Wirkung der SchlusselvenA/altung im Hintergrund (nach einmal erfolgter Identifika- 
tion des Benutzers durch die Einheit 20) bleiben zudem diese . sicherheitserhohenden Vor- 
gange fur den Benutzer unbemerkl. und, insbesondere wenn - etwa durch Einsatz speziell 
eingerichteter Hardware-Bausteine fur die Schlusselvenwaltungseinheit 16 - die Ver- und 
35 Entschliisselungsschritte schnell genug ablaufen. wirkt sich das erfindungsgemalie Vorgehen 
auch hinsichtlich der konkreten Betriebsgeschwindigkeit des Datenverarbeitungssystems nicht 
nachteilig aus. 
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Im Rahmen der vorliegenden Erfmdung liegt es zudem, die eins-zu-eins-Beziehung von Volu- 
mendatei und Schlusseldatei dahingehend zu modifizieren, dass insbesondere auch einer (z. 
B. besonders umfangreichen) Volumendatei eine Mehrzahl von Schlusseldateien zuzuordnen 
ist, wobei in diesem Fall der Begriff "volumendateispezifisch" im Hinblick auf jeweilige Datei- 
5 abschnitte bzw. Bereiche fur eine zugehorige Schlusseldatei zu interpretieren ist. 

Im weiteren soil beschrieben werden, wie die AusfQhrungsfomi gemall Fig. 1 von einem - 
autorisierten oder unautorisierten - Benutzer in der Art eines Filesystems zugegriffen werden 
kann. so dass die Art und Weise des Zugriffs selbst Bestandteil der Sicherheitsstruktur der 
ID vorliegenden Erfmdung wird. 

Wesentliche Aufgabe der Schlusselverwaltungseinheit 16 ist das Herstellen einer logischen 
Beziehung zwischen Volumendaten 12 und jeweiligen (benutzer- und dokumentspezifischen) 
Schlussetdaten 18. In einer bevorzugten Realisierungsform der Erfindung lafit sich dabei ins- 
besondere die Kombination von Schlusselverwaltungseinheit 16 und Schiusselspeichereinheii 
18 als programmtechnisch zu losende spezielle Darstellungsform zu verstehen. die. etwa in 
der Art des Explorer fOr das Windows-Betriebssytem, in der Lage ist, tndividuelle (d.h. benut* 
zerspezifische, abhangig von einer jeweiligen Autorisierung) Ansichten von elektronischen 
Dokumenten in einer hierarchischen Anordnung darzustellen. wie es der Dateiordnung und 
der jeweiligen Berechtigung des Benutzers entspricht. Mit anderen Worten. durch Wirkung der 
Einheit 16 erhalt der Benutzer als Ansicht (und auch zum Zugriff) eine hierarchische Anord- 
nung von fur ihn autorisierten Dokumenten dargestellt, im Idealfall so. dass er den Umstand 
einer Verschlusselung der jeweiligen dargestellten Dokumente (bzw. einer Nicht-Verschlusse- 
iung) nicht bemerkt. Er kann also innerhalb dieser individuellen, benutzerspezifischen» durch 
einen Autorisierungsvorgang bestimmten Ansicht so agieren, als wurden keine Schutzmecha- 
nismen sichtbar existieren. 

Gleichwohl basiert eine derartige. aus Benutzersicht (nach wie vor komfortable) Moglichkeit 
der Arbeit mit der vorliegenden Erfindung auf einer iibergeordneten, sicheren Zuordnung und 
30 Dokument- bzw. SchlQsselverwaltung, wie sie die eigentliche Aufgabe der Einheit 16 ist: Mit 
Hilfe typischenA^eise eines Datenbanksystems. im einfachsten Fall einer Konkordanztabelle. 
welche verschiedenen Personen die jeweils fur sie autorisierten Volumendateien, Schlus- 
seldateien. zugehorige Attribute usw. zuordnet, ist die in der Einheit 16 enthaitene Darstel- 
lungseinheit in der Lage, die benutzerspezifische Ansicht individuell zu kreieren und im 
35 Rahmen dieser benutzerspezifischen Ansicht dann auch ggf. verschlusselte Dokumente mit 
zugehorigen Schlusseldateien korrekt zusammenzufuhren und so zu rekonstruieren. Ein der- 
artiges, die Funktion der Einheit 16 bestimmendes Datenbanksystem (Beispiel: Tabelle) ent- 
halt diesbezuglic^ typischerweise die den jeweiligen Schlussel-, Volumen*Dateien zugehori- 



wo 01/06341 .j PCT/EPOO/06824 

gen Pfadangaben; erganzend und/oder altemativ konnen insbesondere auch Rekonstruk- 
tionsanweisungen als Bestandteile von Schlusseldateien unmittelbar in einer solchen Tabelle 
zum Zugriff enthalten sein (was sich insbesondere dann anbietet. wenn eine derartige Tabelle 
dynamisch erzeugt wird und der dadurch erhaltene Vorteii ausgenutzt wird, dass das gesamte 
5 Dateisystem nicht zusatzlich belastet wird). Insoweit ist als "Schlusseldatei" im Rahmen der 
vorliegenden Erfindung insbesondere auch als Eintrag in einer solchen Datenbank (Tabelle) 
zu verstehen, dergestalt. dass dieser Eintrag das ordnungsgemaBe Rekonstruieren im Rah- 
men der Erfindung ermoglicht. Auch dieser Ansatz bietet Eingriffs- bzw. Ansatzmoglichkeiten 
fur das bevorzugt anzuwendende Schutzverfahren der semantischen Verschlusselung: Nicht 

ID nur kann Aufbau. Feldinhall und/oder Reihenfolgeposition eines Eintrags Innerhalb der Da- 
tenbank (Tabelle) semantisch manipuliert sein, auch ist das Vorsehen von Zwischentabellen 
(etwa in Form von sog. N:M-Zuordnungen) moglich. um Komplexitat und damit Entschlusse- 
' lungssicherheit der Vorrichtungen weiter zu erhohen. Zur weiteren Sicherheitserhohung ist es 
zudem, analog dem Gedanken der Mehrzahl von Schlusseldateien zu einem Voiumendoku- 

15 ment. moglich. mit einer Mehrzahl von (zueinander bevorzugt aquivalenten) Konkordanztabel- 
len zu arbeiten, die. uber die Aufgabe der Volumendatei-, Schlussel- und Personenzuordnung. 
eine Mehrzahl von mdglichen Ansichten bzw. Bearbeitungsbereichen (fur jede Person, oder 
fur mehrere Personen) ermoglichen. 

20 Bestandteil der benutzerspezifischen Ansichten bzw. der dadurch gegebenen Bearbeitungs- 
umgebungen ist, durch das Filesystem geregelt, die Moglichkeit einer Anpassung, Aktualisie- 
rung bzw. eines Updates fur durch Eingriff des Benutzers entsprechend geanderte Inhalte 
eines jeweiligen elektronischen Ookuments, insbesondere betreffend das Fortschreiben des 
Verschlusselungsmechanismus zwischen Volumendatei (in Einheit 1 2) und Schlusseldatei (in 

£5 Einheit 18), so dass auch insoweit der vom Benutzer zugefugte Dokumentbestandteil und/oder 
dessen Anderung entsprechend Verschlusselung enthalt. Damit sind im Rahmen der vorlie- 
genden Ausfuhrungsform Synchronisationsmechanismen geschaffen. 

Auf diesem Wege ist dann insbesondere auch das Abfangen missbrauchlicher Zugriffsversu- 

* 

30 che auf die Datenverarbeitungsvorrichtung der vorliegenden Erfindung moglich: Erfolgt etwa 
ein missbrauchlicher Zugriff auf den autorisierten Datenbestand fur eine Person (erkannt z.B. 
dadurch. dass sich ein missbrauchlich Zugreifender zwar fur eine Person autorisiert. jedoch 
ein falsches Passwort eingibt), so erhalt dieser Zugreifende zwar durch Wirkung der Schlus- 
selverwaltungseinheit 16 eine Ansicht von Dateien dargeboten, ist jedoch weder in der Lage, 

35 auf den tatsachlichen. vollstandigen inhalt dieser Dateien zuzugreifen, noch wird es ihm er- 
moglicht, Anderungen an diesen Dateninhalten vorzunehmen. Vielmehr ist das System so 
ausgebildet. dass es auf Eingaben des Zugreifenden reagiert. insoweit also entsprechenden 
Anderungen folgt, diese schlagen sich jedoch nicht in den erfindungsgemaR geschutzten Ori- 
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ginaldaten wieder. sondern nur in der durch die Einheit 16 verwalteten virtuelten Sicht des 
widerrechtlich Zugreifenden. So konnen zwar durch Eingriff eines widerrechtlich Zugreifenden 
durchaus verschlusselte Volumendaten geandert werden (woraufhin dann eine entsprechende 
Anpassung der Schlusseldaten erfolgt), das zugrundeliegende, ursprungliche Dokument bleibt 
S jedoch von diesen Manipulationen unbeeinflusst. 

Auf die oben beschriebene Weise stellt sich daher somit die Schlusseidatenbank bzw. die 
Schlusselverwaitungseinheit ais Bestandteil der erfindungsgema&en Datenverarbeitungsvor- 
richtung dar, die logische und damit virtuelle, hierarchisch geordnete und individuell - benut- 

10 zerspezifische Ansichten (und damit Benutzer-Zugriffsbereiche auf der lokalen Rechnerein- 
heit) schafft, die jedoch gleichermallen einen Maximum an Zugriffsschutz gegen missbrauch- 
lichen Zugriff sicherstellt. indem namlich. insbesondere mit dem Instrument der semantischen 
Verschlusselung, ein tatsachlicher Zusammenhang zwischen Schlusseldateien (mit Rekon- 
struktionsanweisungen) und einer zugrundeliegenden Volumendatei unsichtbar und intranspa- 

L5 rent bleibt. 

In der praktischen Realisierung der vorliegenden Erfindung erscheint es dabei insbesondere 
auch ratsam, sehr weitgehend vom Betriebssystem vorgesehene Operationen des Dateizu- 
griffs an die erfindungsgemaile Vorgehensweise anzupassen. nicht zuletzt um eine ordnungs- 
gemalie Unterscheidung von erfindungsgemaR zu sichemden und ansonsten offenen, frei 
zuzugreifenden Dateien eines eher typischenA/eise fur verschiedene Anwendungen benutzten 
lokalen Rechnersystems sicherzustellen. ohne dass Sicherheitslucken auftreten (oder dass, 
von autorisierten Zugreifenden, verschlusselter Volumendaten irrtumlich als unverschlussette 
Originaldaten missinterpretiert werden. was durch den Charakter der semantischen Ver- 
schlusselung ohne weiteres gegeben sein konnte). Da jedoch derartige Eingriffe in ein Be- 
triebssystem problematisch sein konnten, ware es alternativ moglich, im Rahmen der vorlie- 
genden Erfindung Obertiaupt betroffene Dateien mit einem Header zu versehen. welcher obli- 
gatorisch und automatisch eine Oberprufung ausldst, ob es sich um eine bestimmungsgemSli 
zu verschlusselnde bzw. im Rahmen der vorliegenden Erfindung zu behandelnde Datei han- 
delt, Oder aber um eine prinzipiell unverschlusselte. 

Dementsprechend liegt eine weitere, mdgliche Weiterbildung der vorliegenden Erfindung 
darin, mit Mittein des Datenbank- und Systemdesigns der vorliegenden Datenverarbeitungs* 
vorrichtung die Grenzen zwischen Benutzern individuell, selektiv anzuzeigenden (und zuzu- 
35 greifenden) elektronischen Dokumenten und solchen Dokumenten, die irgendwelchen Zu- 
griffsregeln uberhaupt nicht unterliegen. verwischen zu lassen (also die Ansichten auf die Ver- 
zeichnisse und der darin enthaltenen Dokumente nicht zu trennen) und insoweit Unsicherheit 
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daruber entstehen zu lassen, ob uberhaupt die innerhalb einer benutzerspezifischen Anstcht 
dargebotenen elektrontschen Dokumente zugriffsgeschutzt sind. 

Daruber hinaus liegt eine vorteilhafte Weiterbildung der voriiegenden Erfindung darin, die ge- 
5 mali der vorbeschriebenen AusfOhrungsformen verwendeten, benutzerspezifischen Ansichten 
der Dateien im Filesystem dynannisch und tnsbesondere im Zusammenhang mit einem jeweili- 
gen Beginn einer Benutzersession eines Benutzers uberhaupt erst zu erzeugen. so dass in- 
soweit ein festes. invariables Schema von benutzerspezifischen Ansichten uberhaupt nicht 
existiert (entsprechend auch auf einer Uberwachungs- bzw. Supervisorebene nicht kontrollier- 
ID bar. sogar explizit abkoppelbar ist), und so der Sicherheitscharakter der Gesamtlosung weiter 
verstarkt wird. 

Zur erganzenden Eriauterung des Verschlusselungsverfahrens gemali unabhangigem An- 
spruch 8 {im weiteren auch "semantische Entschlusselung" genannt). werden im folgenden 
15 Details und Eigenschaften dieses Verfahrens naher beschrieben, die Gegenstand der voriie- 
genden Erfindung sind. 

Die semantische Verschlusselung, also die Verschlusselung des Sinns besteht in der Auftei- 
lung von Originalen Daten (OD) in Volumendaten (VD) und Arbeitsanweisungen oder Rekon- 

20 struktionsanweisungen (RA). Es liegt in dem zugrundeliegenden Konzept des Verfahrens, daft 
die Volumendaten frei und ohne zusatzlichen Schutz verteilt werden konnen. Die RA mussen 
getrennt von den VD aufbewahrt werden. Die Benutzung der OD und der Zugriff auf die OD 
geht nur, wenn der Zugriff auf die RA mit Reglementierungen belegt sind und die RA 
entsprechend geschutzt al^espeichert sind und auf sie nur reglementiert zugegriffen werden 

ES kann. 

Die VenA^altung der RA bzw. der SchlQsseldaten und des Zugriffs auf diese RA geschieht 
durch eine Datenbank, im folgenden auch Schlusseldatenbank oder Schlusseleinheit genannt. 
Da der Zugriff auf diese zentraie Schlusseleinheit ebenfalls mit einem Schlussel und / oder mit 
30 einem Paftwort geschieht und da diese Daten besonders sensibel sind und daher das erste 
Ziel von Angriffen auf die Vertraulichkeit und auf die Geheimhaltung der darin enthaltenen 
Daten darstellt, muft die Sicherheit vor unautorisierten Zugriff durch eine zusatzliche 
Verschlusselung sichergestellt werden. 

35 Diese Schlusseleinheit eriaubt die Abspeicherung der Zugriffsdaten oder Zutrittsdaten (ZD) 
und bietet damit den Zugriff auf die Daten im Rahmen einer Zugriffskontrolle. 
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Bei einem Zugriff will ein Benutzer also ein Subjekt auf ein OD Objekte zugrerfen. Ob uber- 
haupt die Rechte fur die beabsichtigte Zugriffsoperation vorhanden sind, entscheidet die Zu- 
griffskontrolle. 

5 Die Zugriffskontrolle entscheidet. ob die angefragte RA fOr ein identifiziertes Subjekt freige- 
schaltet werden darf, oder ob die Obergabe der RA an dieses Subjekt blockiert werden muli. 

Der Zugriffsscliutz auf das Dokument besteht somit aus einer semantischer Verschlusselung 
des Dokumentes auf einem Massenspeichers und aus einer klassisch Oder semantisch ver- 
ID schlusselten Zugriffs auf die RA, die zu den semantisch yerschlusselten VD gehort. 

Die Daten in der Schlusseleinheit konnen ebenfalls bei einem Backup mit abgespeichert 
werden. Der Zugriff auf die Daten innerhalb dieses Schlusseleinheit kann zusatzlich erschwert 
werden, wenn der Schlussel mit dem auf den Schlusselserver zugegriffen werden kann, nicht 
15 eindeutig ist. Wenn mehr als ein Schlussel fur die Entschlusselung plausibel oder gar nur 
theoretisch m5glich ist, dann bedarf es zusatzlicher Kriterien, um sich selber und andere 
davon zu uberzeugen. da& der Schlussel korrekt ist. 

Der Nachteil der klassischen Kryptographie besteht dartn. da& die naturtichen Redundanz der 
ED Sprache genutzt werden kann, um die ven/vendeten Schlussel berechnen zu konnen. oder dafi 
die Schlussel sofern sie vorliegen genutzt werden konnen um durch einmalige die Anwendung 
sehr leicht beweisen zu konnen, dall sie korrekt sind. Der Beweis, dad der gegebene Schlus- 
sel eindeutig ist, kann durch statistische Verfahren bei gro&eren Datenmengen leichter gefuhrt 
werden. Je grofler die Datenmenge ist. desto leichter ist auch die Entschlusselung. 

as 

Der Vorteil der semantischen Verschlusselung besteht aufterdem darin, dad besonders gro&e 
Datenmengen zuverlassiger und sicherer geschutzt werden konnen. Die semantische Ver- 
schlusselung Itefert eine sehr grofie Menge von mdglichen Schlussein, die angewandt auf 
Volumendaten sinnvolle und ggf. auch brauchbare Daten liefern. Auch ein amateurhafter An- 
30 greifer konnte sich selber eine ganze Klasse von Schlussein ausdenken, die angewandt auf 
die verschlusselten Daten scheinbar einen korrekten Inhalt liefern. Der Beweis von Originalitat 
kann ggf. auch spater und unabhangig von der Ver- und Entschlusselung gefuhrt werden. 

Als Beispiel kann der Satz dienen: Holen Sie Herm Manfred Schmidt morgen (Datum) um 
35 12:17 von Bahnhof in Miinchen ab. Obwohl die Ort, die Zeit und der Aktion genau spezifiziert 
worden ist. kann bei einer semantischen Verschlusselung keine Aussage daruber getroffen 
werden, was der originate Inhalt darstellt. Jeder kann Rekonstruktionsanweisungen entwik- 
kein, mit der der Sinn dieses Satzes gedndert werden kann. So kann das Datum, die Uhrzeit, 
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der Ort die Namen der Personen oder die Aktion z.B. durch das Wort „nichU vor dem Wort 
„ab„ in das genaue Gegenteil umgedreht werden. 



Der Beweis der Originaiitat kann z.B. darin bestehen, dali ein zwischen dem Erzeuger und 
5 dem Benutzer dieser verschlusselten Daten ein Kriterium vereinbart werden kann, daQ> beide 
als ein Beweis fur Originaiitat akzeptieren wurden. Dieses Kriterium kann anders als bei der 
klassischen Kryptographie nicht mathematischer und/oder statistischer Art sein. Falls der 
Erzeuger und Benutzer ein und dieselbe Person ist, so kann z.B. die Signalisierung der richti- 
gen Entschlusselung in der Anzeige eines vorher nur ihm als korrekt bekannten Bildes dar- 
10 stellen. Ein Angreifer wurde ebenfalls immer ein Bildes sehen, aber er konnte nicht wissen, 
welches und ob es korrekt ist. 

Ein in der SchlOsseleinheit venn^altetes mathematisches Kriterium, wie das einer digitalen 
Signatur, konnte angewandt auf einen im Kontext nicht ersichtlichen Daten Teilbestandes die 
IS Zuverlasstgkeit des Gesamtsystems fur die Benutzer erhdhen, ohne da& daraus Informationen 
iiber einen Angriff auf den Schlussel gewonnen werden kann. 



Die Vorteile einer auf ein Datenbankmodeil und Verschlusselung gestutzten Zugriffskontrolle 
besteht in der Herstellung der Sicherheit der Daten, der Nachweisfuhrung. ob Zugriff auf 
£□ Daten genommen worden ist, das Nachvollziehen und die OberprDfung der Verantwortlichkeit. 
ob ein Zugriff genommen werden darf und ob eine Anderung an den Daten vorgenommen 
werden darf. AuBerdem kann der Lebenszyklus eines Dokumentes, d.h. das Publizieren eines 
Dokumentes genauso wie das nicht mehr zuganglich machen eines Dokumentes durch den 
Zugriffsschutz auf die RA hergestellt werden. 

Der Zugriff auf die Backupdaten kann auch uber die mitgesicherte SchlOsseleinheit gesche- 
hen. Die Schlusseldaten konnen so verwaltet werden, dal^ ein Auslesen dieser Daten und ein 
Verwalten in einer anderen SchlOsseleinheit verhindert werden kann. Durch den Vergleich der 
abgespeicherten relativen oder absoluten Datenposition innerhalb des Massenspeicher von 
30 der SchlOsseleinheit kann die Zugriffskontrolle innerhalb der SchlOsseleinheit feststellen. ob 
der Zugriff von einem Backup erfolgt oder von der originalen SchlOsseleinheit. 

Uber die Zugriffskontrolle konnen verschiedene Stufen der Geheimhaltung realisiert werden. 
Da die Dokumente mehr oder weniger unabhangig von der Art der verwendeten semantischen 
35 Verschlusselung nahezu als aquivalent geschutzt angesehen werden konnen. kann die Ge- 
heimhaltung der Daten und deren Zugang nur Ober die SchlOsseleinheit gestaltet werden. 
Durch die Zugehorigkeit zu einer Schniltmenge von Benutzergruppen kann einem Teilnehmer 
die Verwendung eines nur in der Datenbank enthaltenen Zusatzschlussels ermoglicht werden. 
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der dann den entschlusseiten Zugriff auf die dokumentenspezifisch und benutzergmppenspe- 
zifisch verschlusselten Daten freigibt. 

Der Einsatz der semantischen Verschlusselung bei der Obertragungssicherung im Rahmen 
5 einer Kommunikation besteht in dem Austausch von verschlusselten Daten zwischen minde- 
stens 2 Teilnehmern A und B. Der Schutz eines Backup Oder eines langfristig angelegten Ar- 
chivs ist ein von der zeitlichen Dauer her betrachteter Obertragungsvorgang als extremes Bei* 
spiel fur die Anwendung der Ubertragungssicherheit anzusehen, da bei der Entwendung des 
Backup alle nichtgeschutzten Daten einem nichtautorisierten Teilnehmer bekannt werden. Bei 

10 der Ubertragung von Daten muB daher auch zwischen einer synchronen Benutzung von Da- 
ten beim Teilnehmer B und von einer spateren also asynchronen (Tell-) Benutzung von 
ubertragenen Daten unterschieden werden. Bei einem Backup wird von einer asynchronen 
Benutzung der Daten ausgegangen, die aufierdem so abgespeichert sein sollten, dali ein Zu- 
griff auf die verschlusselten Daten jederzeit und mehrfach auch ohne Kenntnis vom Teilneh- 

15 mer A durchgefuhrt werden kann. 

Bei der Herstellung von Obertragungssicherheit mud es aber mindestens einen Kontakt 
zwischen A und B gegeben haben, damit eine Identifikation und Authentifikation (l&A) durch- 
gefuhrt werden kann. Die Ubertragung der VD geschieht in einen oder mehreren Datenuber- 
20 tragungsschritte. Die Ubertragung der RA kann vor/nach/wahrend der l&A und Oder der 
Ubertragung der VD geschehen. Im Rahmen der Erfindung kann die einmalige oder mehrma- 
lige Ubertragung der RA der Ubertragungssicherheit und der Situation angepalit werden. Die 
bei dem Backup auch abgespeicherte Schlusseleinheit venA^altel Ciber die Zugriffskontrolle den 
Zugriff auf das Backup. 

ES 

Falls aufgrund der Anwendung keine Zeitverzogerung bei der Ubertragung akzeptiert werden 
kann. mussen VD und RA zeitlich korreliert ubertragen werden. Falls die Anwendung asyn- 
chron zur Ubertragung mit den OD arbeiten soil, dann kann die Ubertragung der RA auch 
nichtkorreliert geschehen und ggf. auch mit den VD zusatzlich semantisch oder klassisch 
30 verschlusselt mitgegeben werden. 

Unter Ubertragungssicherheit kann allgemein der Schutz der Vertrauiichkeit oder der Schutz 
vor Veranderungen bei der Ubertragung der Daten verstanden werden. Bei der Semantischen 
Verschlusselung ist der Schutz der Vertrauiichkeit bei VD unmittelbar gegeben. Die Anwen- 
35 dung von zusatzlichen klassischen Verschlusselungen ist auf eine geringe Anzahl von Daten. 
z.B. auf die sessionweise, individuell verschlusselten RA. beschrankt. 



wo 01/06341 2 1 PCT/EPOO/06824 

Die unbemerkte Anderung der auszugebenden entschlusselten Daten, kann bei der Anderung 
der VD nur unterhalb einer von dem Angreifer nicht erkennbaren Auflosung geschehen, falls 
2.B. die Rekonstruktion nur in der Wiederherstellung der richtigen Reihenfolge von Satzen 
bestehen wurde. Da z.B. die Semantische Verschlusselung nur in der Anderung der Reihen- 
S folge der Satze bestehen konnte. kann die Anderung von Worter innerhalb eines Satzes nicht 
festgestellt werden. FQr die Registrierung einer Anderung ist der Augenschein nicht ausrei- 
chend. Daher kann ein zusatzliches Verfahren zur digitalen Beweissicherung fiir die Feststel- 
lung von Anderungen bei den Volumendaten eingefuhrt und mil der semantischen Verschlus- 
selung kombiniert werden. 

10 

Wenn die Volumendaten bei der Kommunikation als ganzes oder als venvendbare Teildaten 
komprimiert sind, dann kann die Obertragung der Daten schneller und auch zuverlassiger er- 
folgen. Die Sicherheit der so ubertragenen Daten ergibt sich aus der nichtlinearen Verknup- 
fung zwischen den komprimierten Daten. Dagegen kann die heruntergeladene komprimierte 
15 Datei auf dem lokalen Rechner in der oben beschriebenen Weise verandert werden. so daft 
fur die Verhinderung dieser Manipulationen auch klassische Methoden der Beweissicherung 
ihre Anwendung finden kdnnen. 

Bei einem Verwendungszweck in der Beweissicherung steht im Vordergrund. ob die Daten 
2D echt sind, d.h. im Sinne originSr, unverandert Oder unversehrt vorliegen. Die Daten sind von 
einem bestimmten (anonymen oder bekannten) Benutzer, sie stammen von einer bestimmten 
Quelle, bzw. sind an einem bestimmten Datum erstellt worden. Bei der Beweissicherung muli 
ggf. der Kontext der Daten dargestellt werden. Zu dem Kontext konnen auch die Zugriffsdaten 
gehdren. Fur die Beweissicherung mufi nachvollzogen werden konnen, dali die Volumen- 
55 daten, die RA und die Datenbank. auf der die Zugriffsdaten abgespeichert sind, nicht veran- 
dert worden sind bzw. nicht ohne Spuren zu hinterlassen verandert werden konnen. 

Bisher konnte die Beweissicherung nur mit einer der folgenden Mittel hergestellt werden: 
Abspeicherung des Wertes einer Einwegfunktion, d.h. Verwendung einer digitalen Signatur 

30 Oder die Abspeicherung der Daten auf ein nicht mehr veranderbares Speichermedium 
(Laserdisc, WORM) auf die zu schutzenden Elemente (VD, RA, ZD und Datenspeicherein- 
richtung). Als zusatzlicher Vorteil der semantischen Verschlusselung wirkt sich die Trennung 
der OD in VD und RA als eine zusatzliche Verbesserung der Sicherheit der bestehenden 
Verfahren zur Beweissicherung aus. Die Beweissicherung ist im Rahmen der Semantischen 

35 Verschlusselung ein unabhangiges Add-On. auf das je nach Anwendung auch verzichtel 
werden kann, und als Teil der Schlusseleinheit angesehen werden kann. bei der jede zusatz- 
liche Verschlusselung sich relativ zu dem bestehenden Datenkontext hinzufugt. 
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Da die Positlonierung von Daten sich relativ zu einer Menge von sich andemden Orientie- 
njngsmarken innerhalb eines Datenkontext verandern kann. kann neben der Entschlusselung 
der Daten auch das Anderungsprotokoll als relative Aktualisierungsdaten semantisch ver- 
schlusselt abgespeichert werden. Eine Manipulation in der abgespeicherten Vergangenheit 
S dieser Daten wurde so sofort registriert werden konnen. da der Kontext entweder von der Ge- 
samtdatei oder von einer Teildatenmenge zerstdrt werden kann. 

Der Vorteii der semantischen Verschlusselung besteht darin, dal^ kein inharenter Integritats- 
schutz enthalten ist und daU er durch zusatzliche Verfahren gezielt mit Redundanz oder mit 
ID anderen Kontext schaffenden Informationen zusdtzlich herangefuhrt werden kann. 

Die Oberprufbarkeit von Datenintegritat. also die Feststellung einer Anderung von Daten, die 
entweder bei der Quelle (Server), bei der Obertragung oder auf dem lokalen Rechner manipu- 
liert worden sein kann, ist fur die Vertrauenswurdigkeit der semantisch verschlusselten Daten 
15 wichtig. Die Datenintegritat ist fur die Anerkennung von Daten durch den Benutzer wichtig. Zu 
diesem Zweck kann ein mathematisches Beweisfuhrungsverfahren, wie die Anwendung einer 
Einwegfunktion zusammen mit einer lokalen Datei Oder ein unverandertes Merkmal auf einem 
Server bei dem entsprechenden Nachweis eingesetzt werden. 

SO Bei einer Oberprufung der Datenintegritat findet entweder diese Uberprufung auf der lokalen 
Maschine oder auf dem Server geschehen, je nachdem wie die Interessen bei dieser Uber- 
prufung verteilt sind. Eine Anderung der Daten kann durch die mathematischen Beweisfuh- 
rungsverfahren jederzeit. also auch vor der unmittelbaren Benutzung durch den Anwender 
durchgefuhrt werden. 

25 

Eine semantische Uberprufung der Datenintegritat kann flexibel durch eine Metasprache vor- 
genommen werden, bei der sich die semantische Ver- und Entschlusselung flexibel durch eine 
minimal geanderte Metasprache drastisch im rekonstruierten Ergebnis auswirkt, so daft die 
Korrektheit des Schlussels durch die Betrachtung der so rekonstruierten Daten relativ einfach 
30 durch Augenschein erkannt werden kann. 

Fur die Beweissicherung und Datenintegritat ist die Authentizitat wichtig und nicht die Ge- 
heimhaltung der so uberpruften Daten. Die Geheimhaltung ergibt sich aus der zusatzlichen 
Verschlusselung der Daten. Ob die Datenintegritat vor oder nach der Verschlusselung gepruft 
35 wird ergibt sich aus der konkreten Anwendung. 

Bei der Schlussetverwaltung ist zu differenzieren in Bezug auf den Schlussel als Paftwort zur 
Identifizierung und Authentifizierung. im folgenden nur Paliwort genannt. und Schlussel als 
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Rekonstaiktionsanweisung fOr die Elektronischen Dokumente. Die Schlussel konnen dabei 
selber Anweisungen enthalten, die wiederum komplexere Verschlusselungsoperationen 
auslosen konnen, und die sich dabei ggf. in eine Menge von Schlussel umwandeln. 

5 Die Schlussel konnen auch nur temporSr fOr eine Kommunikation Oder fur eine Menge von 
Kommunikationsschritten, z.B. fur eine Benutzersession, eingesetzt werden. Die Abspeiche- 
rung der RA in der Datenbank kann auch zusStzlich verschlusselt werden. Die Ven/vendung 
von Schlussel (im Folgenden RA-Schlussel genannt) kann dabei fur eine Mengenbildung 
innerhalb der so verschlQsselten Daten ven/vendet werden. Mit einem RA-Schlussel konnen 
10 dann beispielsweise alle RA fur ein Dokument oder alle RA fur ein Kapitel mit alien darin ent- 
halten Versionsandenjngen verschlusselt werden. 

Verschlusselt wird stets eine ursprunglichen Datenquelle» die mit einer definierten Vokabular 
aufgebaut wird. Alle Sprachen. insbesondere die naturiichen menschlichen Sprachen, beste- 
15 hen aus einer Menge von Worter. die in einem Lexikon aufgelistet werden k5nnen. Die An- 
wendung im Rahmen von kontextbezogenen Satzen konnen Worter noch konjugiert und de- 
kliniert werden. 

Die Verwendung von falschen grammatischen Formen ist innerhalb der schriftlichen und 
ED mundlichen Sprache ubiich und wird von Menschen in der Reget richtig interpretiert sofern es 
hicht deutlich oberhalb einer Reizschwelle liegt und oder zu MiRverstandnissen. Unklarheiten 
Oder zu Konflikten mit der Kontext steht und zu Sinn behafteten Irritationen fiihrt. 

Die Verschlusselung eines Backup hat ein zusatzliches Problem, daft bei einer Datenubertra- 
E5 gung keine aquivaiente Bedeutung hat. Da Backup Binder und deren ggf. illegal gemachte 
Kopie sehr lange aufbewahrt werden kdnnen, besteht einerseits das Problem ein ZugriffspaB- 
wort zu haben. dali auch nach Jahren wieder erinnert und verwendet werden kann. anderer- 
seits besteht das Problem, dafl die Endtamung des Paftwort weitreichende Folgen fur die 
Datensicherheit hat. Wenn die Padworter zu schwierig zu merken sind. dann besteht die 
3D Gefahr des Vergessens. Wenn dagegen das PaBwort fur den Hersteller des Backup oder 
eines Benutzer, dessen Daten abgespeichert werden, sehr leicht zu merken ist, dann stellen 
klassische Verschlusselungsverfahren keine Schutz mehr dar. Dagegen wurde eine semanti- 
sche Verschlusselung der Schlusseleinheit keine Hinweise oder Beweise liefern, dali der ein- 
fache Schlussel tatsachlich der richtige Schlussel ist. 

35 

Die Verwendung einer lokalen Schlusseleinheit erspart dem Benutzer umfassende Ausfall- 
malinahmen zu treffen, fur den Fall, dali der Schlusselserver ausfallt. Die flexiblere Verteilung 
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der Schlussel emnoglicht eine Online Zugriff auf einen extemen ggf. zentral venvalteten 
Schlussetsers/ers, fur den Fall einer zus3tzlichen Abgleich zur Herstellung der AktualitSt. 

Ein weiterer Fortschritt besteht in der Begegnung der Gefahr, dail auch in einer zentralen 
S Datenbank eingedrungen werden kann und dali die Kenntnis aller Schlussel zu einem ent- 
sprechend groften Schaden fuhren kann. Auderdem besteht das Problem in einer mdglichen 
Uberlastung durch zu viele Anfragen auf eine zentralen Datenbank. was zu Problemen in der 
effizienten okonomischen Ausnutzung von Ressourcen fuhren kann. 

10 Bei einer Schlusselverteilung mu& berucksichtigt werden, ob der Schlussel geholt werden mufl 
Oder verschiusselt geliefert wird, oder bereits durch das Paflwort lokal vorhanden ist. Auder- 
dem kann unterschieden werden. ob die Schlussel bzw. die PaBworter in der Schlusseleinheit 
im Klartext eingetragen sind Oder von der Schlusseleinheit zur Uberprufung angefordert wer- 
den mufi. Die RA Schlussel konnen zentral. lokal Oder dezentral verteilt gespeichert werden. 

15 Die Art der Schlusselverteilung ergibt sich daraus, ob der Schlussel symmetrisch oder asym- 
metrisch ist und ob der Schlussel nur einmal verwendet werden soli und damit immer neu ge- 
holt werden muK. Aufierdem ergibt sich das Problem der Schlusselverteilung aus der Not- 
wendigkeit zur Anderung und zum periodischen Wechsein von Schlussein und Pafiworter. 

SO Ein weiterer Vorteil der semantischen Verschlusselung besteht darin, dad bei einem Wechsel 
des Schiussels keine zuverlassige Aussage daruber gemacht werden kann, ob as sich urn 
eine veranderte Verschlusselung handelt. oder um eine bewuKte verandernde Aktualisierung 
des Datenbestandes. Der Unterschied besteht darin, dal^ bei einer klassischen Verschlusse- 
lung und bei Kenntnis des entschlusselten Textes durch eine Klartext auch der neue Schlussel 

25 enttamt werden kann. Die Gefahr einer Klartext Attacke besteht bei der semantischen Ver- 
schlusselung nicht. da fur einen so gefundenen Schlussel keine Beweis vorhanden ist, daft er 
richtig ist und daft damit ein daruber hinausgehender Verlust an Vertraulichkeit verbunden ist. 

Die Sicherheit der PaHwort VenA^altung ergibt sich zum einen aus der verwendeten Etnweg- 
3D funktion und zum Anderen aus der Auswahl des Paliwortes durch den Benutzer. Der Vorgabe 
einer Lange und einer Auswahl aus einem moglichst grofien Zeichenvorrat verbessert die 
Qualitat eines Paliwort. Um das Erraten von PaBwSrter zu erschweren werden AusschluB- 
listen gebiidet. Die Paftwortvenvaltung ist wie eine SchlusselvenA/altung. im Gegensatz zu RA 
Schlussel werden die Paliworter in der Regel vom Benutzer festgelegt. Aulierdem konnen sie 
35 von diesem eingegeben oder bei Bedarf geandert werden. 

Um den Zugriff auf das Backup zu erschweren, kann die Freischaltung der Schlusseleinheit, 
die vom Backup geholt worden ist erst dann korrekt arbeiten, wenn eine zusdtzliche Informa- 
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tion von einem vertrauenswQrdigen und Rechner geholt wird, der ggf. nur fOr diesen Zweck 
bereitwillig Informationen sammelt, aber Antworten erst nach Oberwindung mehrerer Einzel- 
schritte ggf. auch organisatorischer Art freigibt. 

Die Schliisseteinheit stellt aufgrund der wichtigen Bedeutung fur die Sicherheit der Daten 
innerhalb der Gesamtlosung ein wichtiges Angriffsziel dar. Wenn ein Benutzer sein Paliwort 
be! der Identifizierung gegenuber dieser Schlusseleinheit preisgibt, dann ist damit die Sicher- 
heit des Gesamtsystems ins Gefahr. Aus diesem Grunde mul^ die Pa&worteingabe sich vor 
sogenannten trojanischen Pferden schutzen. die dem Benutzer vorgaukeln. sie waren in 
Wahrheit die Schlusseleinheit, aber in Wirklichkeit sind es nur Programme, die den Benutzer 
dazu verleiten sollen. das Paliwort einzugeben. Dieses Ausspahen des Pafiwortes wird auch 
Spoofing genannt. Die Schlusseleinheit kann in eine Ausfuhrungsform auch mit zusatzlichen 
Methoden zur Verhinderung des Spoofing ausgestattet sein, z.B. das Erzeugen einer 
Mehrzahl von Zugangspassworten fur jeden Benutzer (mit vorteilhaft nur einem Korrekten), so 
dass eine Unsicherheitskomponente bei einem unberechtigt Zugreifenden entsteht. 

Die Zugriffskontrolle auf ein Backup kann auch als Kopierschutz Verfahren realisiert werden. 

Bei der symmetrischen Verschlusseiung kann von dem Schlussel zur Verschlusselung sofort 
auf den SchlQssel zur Entschlusselung geschlossen werden. In diesem Sinne kann das Ver- 
tauschen und Ersetzen von Daten als symmetrisches Verschlusselungsverfahren verstanden 
werden. Durch die Arbeitsanweisung zur Entschlusselung kann sofort die zugehorige Ent- 
schlusselungs- RA gewonnen werden. In der gleichen Weise ist auch nach der Entschlusse- 
lung gekannt, wie die Verschlusselung durchgefuhrt worden ist. Um diese beiden Vorgange 
starker zu trennen. muft eine semantische Zwischenschicht eingefuhrt werden. 

Die Anweisungen zur Vertauschung Oder Loschen etc. bestehen aus einem Vokabular oder 
zumindest aus Token, denen eine definierte Aufgabe zugewiesen wurde. Das Vokabular wird 
durch die Interpretation der Rekonstruktionseinheit mit einer Aktion verknupft. Die Interpreta- 
tion dieses Vokabulars kann man durch die Implementation von ausfuhrenden Operationen 
einer Metasprache realisieren. Wenn die Zuordnung des Vokabulars zu Operationen wie- 
derum durch eine Metasprache geandert werden kann, so kann ein zusatzlicher Schlussel 
genutzt werden. um die Operation der ersten Schlussels komplexer zu interpretieren. Dieser 
zusatzliche Schlussel kann dann entweder dem Sender oder dem Empfanger des RA hinzu- 
gefugt werden. Die zusatzlichen Zuordnungen zwischen Vokabular und Operationen konnen 
so miteinander funktional interagieren. daH ein zuruck rechnen von einen Schlussel auf den 
anderen an der Komplexitat und Eindeutigkeit des Problems scheitert. Zur Unterstutzung 
dieses Vorgangs konnen Einwegfunktionen verwendet werden. 
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Aus dieser Verknupfung kann auch die semantische VerschlQsselung so eingesetzt werden 
daB auf deren Basis asymmetrische VerschlQsselung mit all seinen aus dem Stand der Tech- 
nik bekannten Anwendungen mdglich gemacht werden kann. 

S 

Message Digits (MD) ergeben sich aus der Anwendung von Einwegfunktionen. Die Anwen- 
dung kann auf eine durch die semantische VerschlQsselung vorgegebene Klasse von Entita- 
ten Oder auf deren Komplementar Menge beschrankt werden Auf diese Weise konnen meh- 
rere unabhangige Teil Message Digits entstehen, die jeweils fur sich einen Schutz vor zufalli- 
10 gen und absichtlichen Ver3nderungen bieten. Da MD auf der Byte Ebene angewendet werden 
und daher fur sehr grol^e Datenmengen relativ rechenzeitaufwendig in der Erstellung sind. 
kann ein semantischer MD auf der semantischen Ebene dazu eingesetzt werden. ob es eine 
Anderung der Volumendaten oder der Schlusseldaten oder der SchlQsseleinheit gegeben hat. 

15 Unler Bezug auf die Fig. 2 wird nachfolgend eine praktische Realisierungsform des die Infra- 
struktur zur semantischen VerschlQsselung betreffenden Aspekts der vorliegenden Erfindung 
beschrieben. 

Die Fig. 2 zelgt dabei in einer schematischen Blockschaltbild-Darstellung den Aufbau einer 
20 Schlusselerzeugungs- und Verwaltungseinheit mit den zugehdrigen Funktionskomponenten im 
Rahmen der vorliegenden Erfindung, die benutzt werden kann. urn durch die erfindungsge- 
malie Technologie der semantischen VerschlQsselung zu schutzende elektronische Doku- 
mente in geschQtzte Volumendateien und zugehdrige Schlusseldateien umzusetzen. Dabei 
ermoglicht es die im Zusammenhang mit Fig. 2 beschriebene Ausfuhrungsform insbesondere 
ES auch. nicht lediglich eine (beim Wiederherstellen zur ursprunglichen. korrekten Dalenmenge 
fQhrende) Schlusseldatenmenge zu erzeugen, sondern eine Mehrzahl von SchlQsseldaten- 
mengen, so dass auch durch diesen Aspekt des Vorliegens einer Mehrzahl moglicher 
Schlussei (von denen auch wiederum nur einer zu dem auch inhaltllch korrekten. und nicht nur 
scheinbar korrekten Ergebnis fQhrt) die Sicherheit der vorliegenden Erfindung weiter erhoht 
30 werden kann. 

Die Fig. 2 soil am Beispiel eines elektronischen Textdokuments beschrieben werden. welches 
in einem ubiichen Format (z.B. Microsoft WORD) vorliegt und mit geeigneten Texteditoren 
erstellt wurde. Das Textdokument besteht aus dem Salz 

35 



Peter geht um 20.00 Uhr zum Bahnhof. Der Zug ist punktlich. 
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ist in einer Speicherheit 52 gemSH Fig. 2 gespeichert und soil in nachfolgend zu beschreiben- 
der Weise durch Wirkung der in Fig. 2 gezeigten, weiteren Funktionskomponenten semantisch 
verschlusselt werden. 

S Eine der Dokumentspeichereinheit 52 nachgeschaltete Lese-/Zugriffseinheit 54, welche mit 
einer Formatdateneinheit 56 zusammenwirkt, stellt fest, dass das obige. in der Speichereinheit 
52 gespeicherte Dokument der Formatstruktur MS-WORD foigt (idealenveise enthall die For- 
matdateneinheit 56 samtliche Format- bzw. Strukturinformationen gangiger Datenformate). 
und greift mit diesen (dateibezogenen) Formatinformationen auf das Textdokument in der 

10 Dokumentspeichereinheit 52 zu. Die der Lese-/Zugriffseinheit 54 nachgeschaltete Analyse- 
einheit 58 ist nunmehr in der Lage, auf der Basis der von der Leseeinheit 54 gelesenen Doku- 
mentinformationen diese zu analysieren und zu bewerten, wobei die Anaiyseeinheit 58 zum 
einen das elektronische Dokument in seine einzelnen Informationskomponenten zerlegt und 
diese in eine Informationskomponentenspeichereinheit 60 ablegt (im vorliegenden Beispiel 

IS waren dies die einzelnen Worter), und zusatzlich die Dokumentstruktur als Struktur von zwei 
durch Punkte begrenzten Satzen erkennt und diese Dokumentstruktur in der Dokumentstruk- 
turspeichereinheit 62 zerlegt ablegt. lnsov\/eit erhalt der Inhalt der Einheit 62 den Charakter 
einer dokumentspezifischen Metadatei. auf die auch spatere Verschlusselungsvorgange (auch 
ggf. nur selektiv) zugreifen konnen. 



Konkret konnte der Inhalt der Dokumentstrukturspeichereinheit nach der Analyse des Aus- 
gangsdokuments durch die Anaiyseeinheit wie folgt aussehen: 



wahrend die Informationskomponentenspeichereinheit 60 dieser strukturellen Analyse ent- 
sprechenden Informationskomponenten. also Worte enthcilt: 



Satz 1 (1. 2, 3. 4) Satz 2 (1, 2. 3), 



as 



3S 



30 



(1.1) Peter 

(1.2) geht 

(1.3) urn 20.00 Uhr 

(1.4) zum Bahnhof 

(2.1) der Zug 

(2.2) Ist 

(2.3) punktlich 



Mit dieser fur das nachfolgende Vornehmen der Verschlusselungsoperationen wichtigen Vor- 
bereitung ist es nunmehr moglich, sowohl auf die einzelnen Informationskomponenten (im 
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vorliegenden Beispiel die einzelnen Worte), als auch auf die Folgen von Informationskompo- 
nenten bzw. Strukturen die Basisoperationen der semantischen VerschlOsselung durchzu- 
fuhren, namlich das Vertauschen, Entfernen, Hinzufugen Oder Austauschen. Dabei liegt eine 
wesentliche Schutzwirkung der erfindungsgemalien semantischen VerschlOsselung darin, 
5 dass diese Operationen nicht beliebig durchgefuhrt werden, sondern dass dies vielmehr unter 
Beibehaltung der grammatikalischen, syntaktischen und/oder formatmaftigen Regein erfolgt. 
so dass auch als Ergebnis der Verschlusselung ein Resultat entsteht, welches scheinbar (d.h. 
ohne inhaltliche Prufung) korrekt zu sein scheint. mit anderen Worten. dem man nicht ansiehl. 
dass es sich in der Tat urn ein verschlusseltes Ergebnis handelt. 

10 

Im vorliegenden Ausfuhrungsbeispiel wird mit Hilfe der Verschlusselungseinheit aus dem oben 
angegebenen elektronischen Dokument der folgende Text: 

Thomas kommt um 16.00 Uhr vom Friedhof. Der Zug ist punktlich. 

IS 

Ohne Kenntnis des wahren Inhaltes erscheint dieser Satz also wie ein offenes, unverschliis- 
seltes Ergebnis, so dass eine wesentliche, schutzbegrundende Wirkung der vorliegenden 
Erfindung bereits darin liegt. dass ein Angreifer angesichts dieses Textes moglicherweise gar 
nicht erst den Eindruck gewinnt, es handle sich um eine Verschlusselung. und so von Anfang 
ED an einen Angriff auf diesen Text unterlalit. 

Konkret wurde im vorliegenden Ausfuhrungsbeispiel durch Wirkung einer Aquivalenzeinheit 70 
(die in ihrer einfachsten Fassung als Tabelle bzw. Datenbank von aquivalenten, d.h. entspre- 
chenden und austauschbaren, Begriffen verstanden werden kann. folgendes vorgenommen: 

25 Die Inhaltskomponente "Peter^ des Ausgangsdokuments wurde durch die grammatikalisch 
aquivalente Inhaltskomponente ''Thomas" ersetzt, wobei Satzstruktur und Grammatik beibe- 
halten wurden, der Sinn des Ursprungsdokuments jedoch bereits zerstort ist. Entsprechend 
wurde die Inhaltskomponenten "gehf des Ursprungsdokuments in die dquivalente Kompo- 
nente "kommt" ersetzt, die Inhaltskomponente "um 20.00 Uhr" wurde ersetzt durch "um 16.00 

3D Uhr" (hier wurde durch Wirkung der Aquivalenzeinheit festgestellt. dass es sich um ein nume- 
risches Datum in Form einer Uhrzeit handelt, so dass eine Manipulation innerhalb der zulds- 
sigen Uhrzeiten mogiich war), und die Inhaltskomponente "zum Bahnhof ' wurde ersetzt durch 
die Inhaltskomponente "vom Friedhor. Dabei wurde zudem durch eine ebenfalls mit der Ver- 
schlusselungseinheit 64 verbundene, den geschilderten Verschiusselungsbetrieb beeinflus- 

35 sende semantische Regeleinheit 72 sichergestellt, dass das Verschlusselungsergebnis 
"...kommt ... vom Friedhor grammatikalisch und syntaktisch korrekt ist. insoweit also nicht als 
manipuliert identifiziert werden kann. (Auch das zusatzliche "zum" ware hier korrekt). Auch 
wurde mittels der Verschlusselungseinheit 64 und der zusammenwirkenden Aquivalenzeinheit 
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70 bzw. semantischen Regeleinheit 72 festgestellt, dass die Inhaltskomponente '*der Zug'* des 
nachfolgenden Satzes in einem inhaltlichen Bezug zu der in den vorhergehenden Satz neu 
eingebrachten Inhaltskomponente "Friedhof steht, so dass selbst ohne eine Verschlusselung 
des zweiten Satzes ein vdllig anderer Sinn (und damit ein Verschlusselungseffekt) entsteht. 

S 

Als. Ergebnis dieser beschriebenen, einfachen Verschlusselungsoperationen wird somit das 
Verschlusselungsergebnis 

"Thomas kommt um 16,00 Uhr vom Friedhof. Der Zug ist punktlich." 

10 

als Volumendaten ausgegeben und in einer Volumendaten-Speichereinheit abgelegt, wahrend 
ein das Rekonstruieren ermoglichender Schlussel (im vorliegenden Ausfuhrungsbeispiel eine 
Information uber die jeweils vertauschten Worte mit deren Position im Satz sowie in jeweiligen 
inhaltlichen Begriffen) in einer Schlusseldaten-Speichereinheit 74 abgelegt wird. Entsprechend 
IS konnte die zugehorige Schlusseldatei fur die Speichereinheit 74 wie folgt aussehen (im 
folgenden Beispiel wird von der Rekonstruktionseinheit der Befehl EXCHANGE interpretiert. 
um die im Argument angegebene Vertauschung durchzufuhren): 



EXCHANGE (1.1; Thomas) 
BD EXCHANGE (1.2; kommt) 

usw. 

In einer Weiterbildung dieser Ausfuhrungsform ist das Vokabular der Befehlssprache selbst 
E5 dynamisch und kann durch Funktionen einer Scriptsprache geandert werden; der Befehl 
EXCHANGE wurde so selbst durch einen anderen. beliebigen Ausdruck ersetzt werden 
konnen. 



30 



Gemafi einer weiteren bevorzugten Ausfuhrungsform der Erfindung ist vorgesehen, eine 
Mehrzahl von Schlusseldateien zu erzeugen, von denen jedoch nur eine das korrekte Rekon- 
struktionsergebnis erzeugt. Schlusseldatei 2 konnte entsprechend wie folgt begtnnen: 
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EXCHANGE (1.1; Rudiger) 
(Rest wie obige Schlusseldatei); 

Schlusseldatei beginnt mit: 

EXCHANGE (1.1;Claus) 

usw. 

Im Ausfuhrungsbeispiel der Fig. 2 ist zusatzlich diesen beiden Speichereinheiten eine Ausga- 
beeinheit 78 nachgeschaltet, die in besonders einfacher Weise die Schiussetdaten 74 in Form 
eines Scripts aufbereitet und als lauffahige Scriptdatei 84 ausgeben kann; dies geschieht mit 
Hilfe einer Konvertierungseinheit 80. welche in ansonsten bekannter Weise aus den 
Volumendaten der Speichereinheit 76 ein der verschlusselten Fassung entsprechendes 
Volumendokument 82 erzeugt, und aus den Index- bzw. Rekonstruktionsdaten der 
Speichereinheit 74 ein selbstSndig im Rahmen einer geeigneten Ablaufumgebung lauffa- 
hige(s) Strukturbeschreibung, Script, z.B. als Javascript, XML, VB-Script od.dgl.. und welches 
dann selbstandig beim Ablaufen das Volumendokument 82 bearbeitet und in die ursprungli- 
che. unverschtusselte Form zuruckfOhren kann. 

Das als Weiterbildung der voriiegenden Erfindung beschriebene Vieraugenprinzip - zusatzlich 
konnen zwei Dritte das verschlusselte Dokument durch aufeinanderfolgendes Anwenden ihres 
jeweiligen Einzelschlussels entschlussein — kann dadurch implementiert werden, dass, am 
vorbeschriebenen Beispiel. ein Dritter alle Namen und alle Zeiten/Zahlen entschlussein kann, 
der zweite die sonstigen Inhaltsbestandteile des Dokuments (einschlieRlich der Reihenfolgen). 

Insbesondere im Rahmen einer internet-Umgebung, wo dann das Volumendokument schon 
lokal vorhanden Oder auf anderem Wege zu einem Nutzer herangefuhrt worden ist. kann dann 
uber eine gesicherte (und insbesondere auch zum Durchfuhren einer geeigneten. einem ord- 
nungsgemaf^en Zugriff auf das Dokument autorisierenden Identifikations- und/oder Bezah- 
lungsvorgang) die Scriptdatei 84 zu dem autorisierten Benutzer ubertragen werden, und dieser 
kann dann komfortabel (und Idealenveise ohne uberhaupt mit dem verschlusselten Vo- 
lumendokument konfrontiert zu werden) die offene Originalfassung wieder herstellen. 

Zusatzlich ist die in Fig. 2 schematisch gezeigte Ausfuhrungsform geeignet. nicht nur eine 
Schlusseldatei fur die Speichereinheit 74 (bzw. als lauffahige Scriptdatei 84) zu erzeugen. 
sondern eine Mehrzahl. von denen idealerweise jedoch wiederum nur eine zu einem inhaltlich 



wo 01/06341 .3 -| . PCT/EPOO/06824 

tatsachlich konrekten Ergebnis fuhrt, wahrend andere Schlusseldateien als Scripte einen Ent- 
schlusselungsvorgang auslosen, welcher zwar ebenfalls zu einem sinnvollen (und damit 
scheinbar konrekten) Ergebnis fuhrt. inhaltlich jedoch nicht mit der Ursprungsfassung uberein- 
stimmt. Hierdurch ist dann eine weitere Erhdhung der Verschlusselungssicherheit gegeben. 
5 Dabei soilte es unmittelbar einsichtig sein, dass bereits geringe inhaltliche Abweichungen den 
(fur einen Nutzer eigentiich wertbildenden) Sinn des Ursprungsdokuments vollstandig zersto- 
ren, so dass es mdglicherweise nur geringer Modifikationen bzw. einer geringen Anzahl von 
Verschlusselungsoperationen (mit der Folge einer entsprechend kurzen Scriptdatei als 
Schiusseldaten) bedarf, um den vorgesehenen Schutzzweck zu erreichen. bis hin zur bereits 
10 erwahnten Nicht-VerschlQsselung der Ursprungsdatei, die ihren Schutzzweck ledlglich aus 
dem Umstand herleitet, dass ein unberechtigt Zugreifender die Unsicherheit hat. ob er es mit 
einem offenen (d.h. der Ursprungsdatei auch entsprechenden) tnhalt, oder aber mit einem 
verschlusselten, d.h. nicht mit der Ursprungsdatei Qbereinstimmenden Inhalt zu tun hat. 

15 Die vorliegende Erfindung ist nicht auf das exemplarische Beispiel von Textdateien be- 
schrankt. So bietet es sich insbesondere auch an, jegliche weiteren elektronischen Doku- 
mente durch die prinzipiell beschriebene Weise zu verschlussetn, solange diese elektroni- 
schen Dokumente eine fur die Basisoperationen des Vertauschens, Entfernens, Hinzufugens 
Oder Austauschens geeignete Struktur aus Inhaltskomponenten aufweisen. Typische weitere 

5D Anwendungsfalle waren also insbesondere Musikdatein. die ublicherweise im sog. MP3-For- 
mat vorliegen, und wo es im Rahmen der vorliegenden Erfindung moglich ist. die durch das 
MP3-Format vorgegebenen Datenstrukturen (sog. Fi^ames) einzein oder blockweise 
(idealerweise auch takt- oder abschnittsweise, bezogen auf das jeweilige Musikstuck) aus- 
zutauschen, zu entfernen oder zu vertauschen. Entsprechendes gilt fur Bild- und/oder Video- 

2 S dateien. denn auch die dort gangigen, bekannten Dokumentformate basieren auf einer Folge 
von Frames als Inhaltskomponenten (bei Bildern oder elektronischen Videos sind dies die je- 
weiligen Einzelbilder). die in der erTindungsgemal^en Weise manipuliert werden konnen. So ist 
es hier insbesondere Aufgabe der (auf technische Standards bezogenen) semantischen 
Regeleinheit (Fig. 2), innerhalb derartiger komplexer Datenstrukturen Ansatzpunkte fur eine 

30 wirksame Manipulation aufzufinden. Entsprechendes gilt fur Farb-. Kontrast-. Helligkeits- oder 
andere Werte, die im Rahmen einer Darstellungs- oder Ablauflogik des betreffenden 
Dokuments benutzt werden und mit den Basisoperationen der semantischen Verschlusselung 
geandert werden kOnnen. 
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Oatenverarbeitungsvorrichtung mit 

einem einer lokalen Rechnereinheit (10) zugeordneten lokalen Dateiablagesy- 
stem (12) zum Abrufen und zur Speicherung sowie zur bidirektionalen Daten- 
ubertragung von Volumendateien mittels der Rechnereinheit (10) 
und einer der lokalen Rechnereinheit zugeordneten Nutzer-ldentifikationseinheit 
(20), die zum Ermoglichen eines Zugriffs durch die Rechnereinheit auf fur einen 
Nutzer autorisierte Volumendateien nur als Reaktion auf dessen positive Iden- 
tifikation ausgebildet ist. 

wobei die Volumendatei in dem lokalen Dateiabiagesystem (12) in einer fur 
einen Nutzer nicht brauchbaren, verschlusselten Form gespeichert ist, 
gekennzeichnet durch 

eine einem Datenubertragungspfad von Volumendateien zwischen der lokalen 
Rechnereinheit (10) und dem lokalen Dateiabiagesystem (12) zugeordnete 
Schlusselvenvaltungseinheit (16) als Teil und Funktionalttat der lokalen Rech- 
nereinheit (10), die zum Erzeugen und Zuweisen mindestens einer nutzerspe- 
zifischen und volumendateispezifischen Schlusseldatei fur jede Volumendatei 
ausgebildet ist, 

die Schlusselvenvaltungseinheit (16) mit einer als Teil des lokalen Dateiabla- 
gesystems. von diesem logisch getrennt vorgesehenen Schlusseldatenbank 
(18) verbunden ist 

und zum Verknupfen einer in der Schlusseldatenbank (18) gespeicherten 
Schlusseldatei mit einer im lokalen Dateiabiagesystem (12) gespeicherten 
Volumendatei zum Erzeugen eines fur einen Nutzer brauchbaren elektroni- 
schen Dokuments 

wobei die Schlusseldatenbank lokal in der Datenverarbeitungsvorrichtung. je- 
doch logisch Oder strukturell Oder physisch getrennt von einer dem lokalen 
Dateiabiagesystem zugeordneten Laufwerks- Oder Massenspeicheretnheit 
vorgesehen ist. 

Vorrichtung nach Anspruch 1 , dadurch gekennzeichnet, dass die verschlusselte Form 
das Verschlussein mittels eines symmetrischen Schlussels aufweist. 
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Vorrichtung nach Anspruch 1 , dadurch gekennzeichnet, dass die verschlusselte Form 
ein bezogen auf ein etektronisches Dokument als Basis fur eine Volumendatei inhalts- 
und/oder sinnentstellendes Vertauschen, Entfernen und/oder Hinzufugen von Datei- 
komponenten aufweist. 

Vorrichtung nach einem der Anspriiche 1 bis 3, dadurch gekennzeichnet, dass das 
lokale Dateiablagesystem (12) eine Datenbank und die Volumendateien Datenbankein- 
trage oder DatensStze der Datenbank sind. 

Vorrichtung nach einem der Anspriiche 1 bis 4, dadurch gekennzeichnet. dass das 
lokale Dateiablagesystem (12) eine Arbeitsplatz-Massenspeichereinheit fur bevorzugt 
eine Mehrzahl von Nutzern ist. 

Vorrichtung nach einem der Anspruche 1 bis 5, dadurch gekennzeichnet. dass die Vo- 
lumendateien digitale Text-, Programm-, Biid-, Audio- und Videodateien sowie Kombi- 
nationen aus diesen aufweisen. 

Verfahren zur Speicherung und zum Aufruf von elektronischen Dateien. insbesondere 
zum Betreiben einer Datenverarbeitungsvorrichtung nach einem der Anspruche 1 bis 6, 
gekennzeichnet durch die Schritte: 

Identifizieren eines an einer Rechnereinheit zum Zugreifen auf in einem der 
Rechnereinheit zugeordneten Dateiablagesystem gespetcherten oder zu 
speichernden Volumendateien tatigen Nutzers; 

Ermoglichen des autorisierten Zugriffs auf nutzerspeizifische Volumendateien 
ais Reaktion auf eine positive Identiftkation; 

Erzeugen einer volumendatei- und nutzerspezifischen Schlusseldatei fur ein im 
Dateiablagesystem zu speichemdes elektronisches Dokument und nachfol- 
gendes Verknupfen des elektronischen Dokuments mit der Schlusseldatei zum 
Erzeugen und Speichern einer fur einen Nutzer nicht brauchbaren Volumen- 
datei; 

Ablegen der erzeugten Schlusseldatei in einer Schlusselspeichereinheit; 
Auslesen einer volumendatei- und nutzerspezifischen Schlusseldatei als Reak- 
tion auf einen Zugriffsbefehl etnes Nutzers: 

Verknupfen der ausgelesenen Schlusseldatei mit einer aus dem Dateiablagesy- 
stem ausgelesenen. fur einen Nutzer nicht brauchbaren Volumendatei zum Er- 
zeugen eines brauchbaren elektronischen Dokuments. 



wo 01/06341 PCT/EP00/0d824 

8. Verfahren zum VerschlQsseIn einer elektronisch gespeicherten ursprOnglichen Da- 
tenmenge. insbesondere als Verfahren zum Erzeugen einer volumendatei- und nutzer- 
spezifischen Schlusseldatei nach Anspruch 7 und/oder zum Betreiben der Schlussel- 
venA/altungseinheit in der Vorrichtung nach einem der Anspriiche 1 bis 6. wobei die 
elektronisch gespeicherte ursprungliche Datenmenge aus einer Folge von Informali- 
onskomponenten einer Metasprache in Form einer Schriftsprache. eines Zahlensy- 
stems Oder von Informationskomponenten aus in einer vorbestimmten. einheitlichen 
Formatslruktur angeordneten Datenelementen, insbesondere Bild-. Ton- oder Pro- 
gramminformationen. besteht und in einer Mehrzahl von elektronisch adressierbaren 
Speicherbereichen gespeichert ist. mit den Schritten: 

Vertauschen und/oder Entfemen einer Informationskomponente in der Da- 
tenmenge und/oder Hinzufugen einer Informationskomponente an eine vor- 
bestimmte Position in der Folge von Informationskomponenten und/oder Aus- 
tauschen einer Informationskomponente gegen eine bevorzugt in der ur- 
sprOnglichen Datenmenge nicht enthaltene Informationskomponente durch 
einen Rechnerzugriff auf einen jeweiligen der Speicherbereiche zum Erzeugen 
einer verschlusselten Datenmenge; 

Erzeugen einer Schlusseldatenmenge mit Angaben uber die vertauschten. 
entfernten. hinzugefugten und/oder ausgetauschten Informationskomponenten. 
die so ausgebildet ist. dass sle ein Wiederherstellen der ursprOnglichen Da- 
tenmenge gestattet und 

Abspeichern der verschlusselten Datenmenge sowie Abspeichern der Schlus- 
seldatenmenge in einer getrennten, benutzerindividualisierten SchlQsseldatei 
eines gemeinsamen Dateisystems. 

9. Verfahren nach Anspruch 8. gekennzelchnet durch das aufeinanderfolgende, minde- 
stens zweifache Verschlussein der Schlusseldatenmenge jeweils durch den Schritt des 
Vertauschens. Entfemens. Hinzufugens und/oder Austauschens, wobei ein erster. 
hierdurch erzeugter Schlusseldatensatz einem ersten Benutzer und ein zweiter, 
nachfolgend erzeugter Schlusseldatensatz einem zweiten Benutzer zugeordnet wird. 

10. Vorrichtung zum Behandein einer elektronisch gespeicherten ursprOnglichen Daten- 
menge, insbesondere zur DurchfOhrung des Verfahrens nach einem der AnsprOche 7 
Oder 8 und/oder als Bestandteil der SchlOsselverwaltungseinheit in der Vorrichtung 
nach einem der AnsprOche 1 bis 6 mit 

einer Analyseeinheit (54. 56), die zum Zugreifen auf die in einer Dokumentspei- 
chereinheit (52) gespeicherte ursprungliche Datenmenge sowie zum elektronischen 
Erfassen von mindestens einer Folge von Informationskomponenten der ursprOngli- 



wo 01/06341 _35^ PCT/EPOO/06824 

Chen Datenmenge als Reaktion auf vorbestimmte und/oder ermittelte Format- 

und/oder Strukturdaten der ursprunglichen Datenmenge ausgebildet ist, 

einer der Analyseeinheit nachgeschalteten Verschlusselungseinheit (64). die zum 

Vertauschen und/oder Entfernen einer Informationskomponente in der ur- 
spriinglichen Datenmenge und/oder Hinzufugen einer Informationskompo- 
nente an eine vorbestimmte Position in der Folge von Informationskompo- 
nenten und/oder Austauschen einer Informationskomponente gegen eine be- 
vorzugt in der ursprunglichen Datenmenge nichl enthaltene Informations- 
komponente sowie zum 

Erzeugen einer Schlusseldatenmenge mit Angaben uber die vertauschten, 
entfemten, hinzugefQgten und/oder ausgetauschten Informationskomponen- 
ten, die so gebildet ist, dass sie ein Wiederhersteilen der ursprunglichen 
Datenmenge gestattet, 



ausgebildet ist, 

einer zum Abspeichem der Schlusseldatenmenge ausgebildeten SchlQs- 
seldatenspeichereinheit (74) sowie 

einer zum Abspeichem der verschlusselten Datenmenge ausgebildeten Volu- 
mendatenspeichereinheit (76). 

Vorrichtung nach Anspruch 10, dadurch gekennzeichnet. dass der Verschlusselungs- 
einheit (64) eine Aqurvalenzeinheit (70) zugeordnet ist, die fur mindestens eine In- 
formationskomponente in der ursprunglichen Datenmenge mindestens eine Aqui- 
valenzinformationskomponente eiektronisch gespeichert bereithalt, wober die Aqui- 
valenzinformationskomponente so gebildet ist. dass sie mit der zugehorigen Informa- 
tionskomponente grammatikalisch. formatmaftig, metaphorisch und/oder syntaktisch 
ubereinstimmt. 

Vorrichtung nach Anspruch 11 oder 12, dadurch gekennzeichnet, dass die Ver- 
schlusselungseinheit zum Zusammenwirken mit einer semantischen Regeleinheit (72) 
ausgebildet ist, die so eingerichtet ist, dass das Vertauschen, Entfernen, Hinzufugen 
Oder Austauschen innerhalb der/des Grammatik. Formats. Metaphorik und/oder 
Syntax erfolgt. die/das durch die Format* und/oder Strukturdaten bestimmt ist. 
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13. Vorrichtung nach einem der Anspruche 10 bis 12, dadurch gekennzeichnet. dass der 
Verschlusselungsetnheit eine Zufallssteuerungseinheit (68) zugeordnet ist, die das 
Vertauschen, Entfemen, Hinzufugen und/oder Austauschen durch die Verschlusse- 
lungseinheit betreffend einzelne Informationskomponenten und/oder Folge(n) von 
5 Informationskomponenten zufallsabhangig, insbesondere nicht reproduzierbar, 

steuert. 



14. Vorrichtung nach einem der Anspruche 10 bis 13, gekennzeichnet durch eine der 
Verschlusselungseinheit zugeordnete Verschlusselungsparametereinheit (66). die 
10 zum Speichem und/oder Einstellen vorbestimmter Parameter fur das Vertauschen. 

Entfernen, HinzufQgen und/oder Austauschen durch die Verschlusselungseinheit 
ausgebildet ist, insbesondere betreffend eine durch eine Anzahl des Vertauschens, 
Entfemens, Hinzufugens und/oder Austauschens erreichte Verschlusselungstiefe. 

IS 15. Vorrichtung nach einem der Anspruche 10 bis 14, gekennzeichnet durch eine der 

Verschlusselungseinheit nachgeschaltete Konvertierungseinheit (80), die zum Er- 
zeugen einer elektronisch ubertragbaren Volumendatei aus der verschlusselten Da- 
tenmenge sowie einer bevorzugt aktiv ablauffahigen Programm- und/oder Scriptdatei 
aus der Schlusseldatenmenge ausgebildet ist. 

20 

16, Vorrichtung nach einem der Anspruche 10 bis 15, dadurch gekennzeichnet, dass die 
Verschlusselungseinheit zum Erzeugen einer Mehrzahl von Schlusseldatenmengen 
ausgebildet ist, von denen mindestens eine bei einem Zusammenfuhren mit der ver- 
schlusselten Datenmenge nicht das Wiederherstelien der ursprungtichen 
25 Datenmenge gestattet. jedoch nach dem Zusammenfuhren zu einer Datenmenge 

fuhrt, die mit der ursprungtichen Datenmenge syntaktisch, formatmal^ig und/oder 
grammatikalisch ubereinstimmt. 



17. Vorrichtung nach einem der Anspruche 10 bis 16. dadurch gekennzeichnet. dass die 
30 der Analyseeinheit nachgeschaltete Verschlusselungseinheit in der Schlusseldaten- 

menge zum Aus- Oder Vertauschen der Angaben uber die vertauschten. entfernten, 
hinzugefiigten und/oder ausgetauschten Informationskomponenten ausgebildet ist. 
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